Un fallo de seguridad en Grindr da pie a que puedan usurpar tu cuenta

¿Has probado alguna vez Grindr? Si tu respuesta es sí y has leído el titular, probablemente se te hayan puesto los pelos de punta. Si no las tienes todas contigo, vamos a contarte bien lo que ha pasado, porque la aplicación para ligar más famosa que existe actualmente acaba de poner en peligro los datos personales de millones de usuario en el mundo. Como lo lees.

Pero vayamos paso a paso. ¿Qué ha sucedido exactamente? Una brecha de seguridad habría permitido que un hacker experimentado se hiciera con el control de la cuenta de una víctima, esto es, un usuario de Grindr. Aunque en este caso estaríamos hablando de miles y miles de ellos. Parece ser que el problema estaría ubicado en el sistema de inicio de sesión, por el que resultaría relativamente sencillo para un experto arrebatar la posesión de una cuenta a un usuario cualquiera.

grindr
Imagen: Troy Hunt/supplied Vía: Techcrunch

Los atacantes podrían iniciar sesión en Grindr

Expertos del medio TechCrunch han relatado las características del fallo. Parece ser que la vulnerabilidad existente en el sistema de inicio de sesión de Grindr permitiría a los atacantes iniciar sesión en Grindr. Lo único que necesitarían conocer es las cuentas de correo electrónico de los usuarios. Los criminales podrían iniciar sesión a través de la web de la aplicación y, a partir de ahí, activar el sistema de recuperación de contraseña, dispuesto para aquellos usuarios que la olviden.

La brecha facilitaría el cambio de clave, porque el token (sistema de seguridad) sería perfectamente accesible a través de las opciones de desarrolladores del navegador. Cualquiera que sepa un poco de esto, fácilmente podría acceder al sistema de recuperación de contraseña y, finalmente, hacerse con el control de la cuenta de Grindr del usuario.

Desde ahí, además, los cibercriminales podrían conseguir información íntima y directa de los usuarios, puesta a su merced, como se habrían hecho con el control absoluto de la cuenta. Conviene indicar que, al tratarse de una aplicación para ligar, Grindr contiene información muy sensible acerca de los usuarios: una de las más delicadas, el estado de VIH, una opción que se puede responder de manera libre u opcional y que puede ser muy específica. Tanto como informar acerca de la fecha del último análisis. Por no hablar de mensajes privados, citas y otras preferencias de carácter privado.

grindr-02
Imagen: Troy Hunt/supplied Vía: Techcrunch

El problema ha sido resuelto

En declaraciones a TechCrunch, el director de operaciones de Grindr, Rick Marini, ha explicado que la vulnerabilidad ha sido debidamente informada por el investigador que la localizó, lo que ha permitido que el problema, a estas horas, esté subsanado. Consideran, además, que al ser rápidamente alertados, pudieron solventar la incidencia antes de que ningún hacker pudiera aprovecharse de ella.

El director de operaciones de Grindr, Rick Marini, ha explicado que la vulnerabilidad ha sido debidamente informada por el investigador que la localizó, lo que ha permitido que el problema, a estas horas, esté subsanado. Consideran, además, que al ser rápidamente alertados, pudieron solventar la incidencia antes de que ningún hacker pudiera aprovecharse de ella.

Para evitar este tipo de contratiempos en un futuro (hay que recordar que no ha sido la única brecha que ha puesto en peligro información privada y personal de los usuarios), el directivo ha anunciado que pronto se dará a conocer un programa de recompensas para profesionales que quieran advertir sobre incidencias, vulnerabilidades y brechas del servicio.