Uma falha de segurança vergonhosa poderia ter deixado qualquer um acessar sua conta do Grindr

Views: 135
0 0
Read Time:2 Minute, 10 Second

Você pensaria que um aplicativo de namoro que conhece sua sexualidade e status de HIV tomaria precauções minuciosas para manter essas informações protegidas, mas grindr decepcionou o mundo mais uma vez – desta vez, com uma vulnerabilidade de segurança gobsmackingly flagrante que poderia ter deixado literalmente qualquer um que pudesse adivinhar seu endereço de e-mail em sua conta de usuário.

Felizmente, o pesquisador francês de segurança Wassime Bouimadaghene descobriu a vulnerabilidade, talvez antes de ser explorada, e agora foi corrigida.

Infelizmente para grindr, a empresa ignorou suas revelações – até que o pesquisador de segurança Troy Hunt (de Have I Been Pwned) e o jornalista Zack Whittaker (do TechCrunchconfirmaram a questão e escreveram sobre isso.

Os detalhes precisam ser vistos para serem acreditados (então, por favor, olhe para a imagem acima), mas a versão curta é a seguinte: se você colocar um endereço de e-mail no formulário de redefinição de senha do Grindr, ele enviaria uma mensagem de volta para o seu navegador da Web com a chave que você precisa para redefinir a senha enterrada dentro dele.

Você poderia, então, teoricamente apenas copiar e colar essa chave em uma URL de redefinição de senha (o que Hunt fez), e assumir uma conta assim.https://e533d48156bc7d03496e8439e7a986da.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html?n=0

O COO da Grindr, Rick Marini, disse ao TechCrunch que “acreditamos que abordamos o problema antes de ser explorado por quaisquer partes maliciosas”, e diz que o Grindr fará parceria com uma “empresa líder de segurança” e introduzirá um programa de recompensa por bugs. Isso deve significar que pesquisadores de segurança como Bouimadaghene terão mais facilidade para entrar em contato.

OS DADOS DO GRINDR SÃO PARTICULARMENTE SENSÍVEIS

Mais uma vez, este não é apenas um aplicativo que contém algumas mensagens. Os usuários do Grindr incluem indivíduos gays, bi, trans e gays, e a mera presença do aplicativo no telefone de uma pessoa pode indicar algo sobre sua sexualidade que talvez não queira revelado ao mundo exterior. No entanto, esta é a empresa que foi pega compartilhando o status de HIV de seus usuários para outras empresas, e compartilhando outras informações pessoais para anunciantes terceirizados.

Dito isso, pode ser uma empresa um pouco diferente agora. Em março deste ano, os proprietários chineses da empresa a venderam para um grupo de investidores americanos, que também se tornou a nova gestão da Grindr. Marini, o COO citado pelo TechCrunch, foi um dos investidores do grupo. Outro, Jeff Bonforte, é o novo CEO da empresa.

FONTE: THE VERGE

Previous post Ubuntu Linux 20.10 ‘Groovy Gorilla’ Beta disponível para download
Next post Microsoft mata 18 contas do Azure ligadas a ataques do Estado-Nação

Deixe um comentário