Uno pensaría que una aplicación de citas que conoce su sexualidad y estado de VIH tomaría precauciones para mantener esa información protegida, pero Grindr ha decepcionado al mundo una vez más, esta vez, con una vulnerabilidad de seguridad increíblemente atroz que podría haber dejado literalmente a cualquiera que pudiera adivinar su dirección de correo electrónico en su cuenta de usuario.
Afortunadamente, el investigador de seguridad francés Wassime Bouimadaghene descubrió la vulnerabilidad, quizás antes de que pudiera ser explotada, y ahora se ha solucionado.
Desafortunadamente para Grindr, la compañía ignoró sus revelaciones, hasta que el investigador de seguridad Troy Hunt (de Have I Been Pwned ) y el periodista Zack Whittaker (de TechCrunch ) confirmaron el problema y escribieron al respecto .
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/21934735/image_1.png)
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/21934735/image_1.png)
Hay que ver los detalles para creerlos (por lo tanto, mire la imagen de arriba) pero la versión corta es la siguiente: si ingresa una dirección de correo electrónico en el formulario de restablecimiento de contraseña de Grindr, enviará un mensaje a su navegador web con la clave necesita restablecer la contraseña escondida en su interior.
Luego, en teoría, podría simplemente copiar y pegar esa clave en una URL de restablecimiento de contraseña (lo que hizo Hunt) y hacerse cargo de una cuenta así.
El director de operaciones de Grindr, Rick Marini, dijo a TechCrunch que "creemos que abordamos el problema antes de que fuera explotado por partes malintencionadas", y dice que Grindr se asociará con una "empresa de seguridad líder" e introducirá un programa de recompensas por errores. Con suerte, eso debería significar que los investigadores de seguridad como Bouimadaghene tendrán más facilidad para ponerse en contacto.
Nuevamente, esta no es solo una aplicación que contiene algunos mensajes. Los usuarios de Grindr incluyen personas homosexuales, bisexuales, trans y queer, y la mera presencia de la aplicación en el teléfono de una persona puede indicar algo sobre su sexualidad que tal vez no deseen que se revele al mundo exterior. Y, sin embargo, esta es la empresa que fue sorprendida compartiendo el estado serológico de sus usuarios con otras empresas y compartiendo otra información personal con anunciantes externos .
Dicho esto, ahora podría ser una empresa ligeramente diferente. En marzo, los propietarios chinos de la empresa la vendieron a un grupo de inversores estadounidenses , que también se convirtieron en la nueva dirección de Grindr. Marini, el director de operaciones citado por TechCrunch, fue uno de los inversores del grupo. Otro, Jeff Bonforte, es el nuevo director ejecutivo de la empresa.