A vulnerabilidade do Grindr permitiu que os hackers redefinissem as senhas das contas e assumissem as contas

Uma vulnerabilidade significativa do Grindr foi descoberta em setembro de 2020. O problema de segurança permitia que agentes mal-intencionados assumissem a conta do Grind de um usuário se eles simplesmente soubessem o endereço de email do usuário.

A rede social voltada para adultos teve um problema muito significativo com segurança . Um hacker precisava apenas de um endereço de e-mail de usuário para abrir uma conta. Alimentar o e-mail na página "Encontre sua conta" do serviço - o equivalente a um formulário "Esqueci minha senha", abrir um formulário Captcha de verificação de bot e, em seguida, mostrar uma mensagem informando que um e-mail de redefinição de senha havia sido enviei. No entanto, abrir as ferramentas de desenvolvimento do navegador, um simples pressionamento de tecla no Chrome, trouxe o token interno de redefinição de senha do Grindr, bem ali, no código da página.

Ter o endereço de e-mail do usuário combinado com o token de redefinição de senha foi o suficiente para permitir que os malfeitores acessassem a solicitação de senha real vinculada ao e-mail enviado pelo serviço. Deste ponto em diante, mudar a senha e assumir a conta é brincadeira de criança.

O login na conta hackeada usando a senha recém-criada abriu um pop-up dizendo ao usuário para confirmar o login por meio do aplicativo móvel. Se você acha que é uma verificação de dois fatores vinculada ao seu número de telefone, não é. O pesquisador de segurança Troy Hunt, que conduziu este pequeno experimento usando chapéu branco e expôs a vulnerabilidade com a ajuda de alguns de seus colegas, simplesmente se conectou à conta recém-invadida de seu próprio celular, usando a senha recentemente alterada e o e-mail endereço e pronto - a conta era dele para fazer o que quisesse.

Hunt afirmou que a vulnerabilidade está entre "as técnicas mais básicas de apropriação de contas" que ele já encontrou em seus anos de trabalho. Felizmente, depois de alguns obstáculos iniciais ao contatar representantes do Grindr no Twitter e criar um pouco de agitação com um tweet público sobre a vulnerabilidade, Hunt conseguiu entrar em contato com a equipe de segurança da plataforma. A vulnerabilidade já foi corrigida pelos desenvolvedores do Grindr.

Grindr entra com uma correção

Os representantes do Grindr afirmaram que o problema foi descoberto e corrigido antes que qualquer malfeitor pudesse abusar dele. A plataforma social anunciou ainda seus planos de lançar um novo programa de recompensas de caça a insetos em um futuro próximo.

Este incidente mostra que às vezes, não importa o quão segura seja sua senha e não importa o quão investido você esteja em sua segurança cibernética pessoal, às vezes o destino de suas informações e contas simplesmente não está em suas mãos e você pode fazer pouco sobre um vetor de ataque semelhante a aquele descoberto com a vulnerabilidade do Grindr.

Claro, isso não significa que você deva ser negligente ou descuidado. Em ataques semelhantes que não envolvem o usuário de forma alguma, sua melhor aposta é usar a autenticação de dois fatores da plataforma e proteger sua conta assim que estiver disponível, se ainda não estiver.