Falha no Grindr permitia invadir contas facilmente pelo navegador

1 min de leitura
Imagem de: Falha no Grindr permitia invadir contas facilmente pelo navegador

Uma falha gravíssima foi encontrada no aplicativo de encontros Grindr. O especialista em segurança Troy Hunt descobriu uma forma de tomar contas do aplicativo de maneira bem simples: usando a página oficial de recuperação de senha do serviço.

O especialista mostrou em seu blog como a falha de segurança funciona. Após solicitar que um amigo criasse uma conta no Grindr para o teste, Troy Hunt conseguiu entrar no perfil e gerenciá-lo integralmente utilizando a falha presente no site da plataforma de encontros.

Com uma simples alteração feita no navegador, era possível tomar o controle de uma conta do GrindrCom uma simples alteração feita no navegador, era possível tomar o controle de uma conta do GrindrFonte:  Troy Hunt 

Para fazer a invasão, o especialista precisou apenas de um e-mail. Após realizar uma solicitação de troca de senha no site oficial do Grindr com o endereço eletrônico da vítima, o serviço redirecionou Troy Hunt para uma nova página.

Com as ferramentas de desenvolvedor do navegador, que podem ser abertas por qualquer pessoa, o especialista conseguiu acessar uma página que exibia o e-mail que seria utilizado para realizar a troca de senha. Assim, bastava substituir o endereço para receber a solicitação e tomar a conta.

Após trocar a senha no navegador, já era possível logar na conta roubada pelo aplicativoApós trocar a senha no navegador, já era possível logar na conta roubada pelo aplicativoFonte:  Troy Hunt 

Após trocar a senha do usuário no computador, o especialista recebeu uma solicitação para baixar o app e realizar uma autenticação de segurança. Como a senha foi redefinida, Hunt só precisou realizar um login convencional para garantir sucesso total no roubo da conta.

Falha já foi corrigida

A facilidade no roubo de contas trazida pela falha de segurança no Grindr é preocupante, porém, o problema já foi corrigido. Segundo informa o The Verge, o pesquisador francês Wassime Bouimadaghene foi uma das primeiras pessoas a encontrar a vulnerabilidade e entrou em contato com a plataforma, mas foi ignorado inicialmente.

Logo em seguida, Troy Hunt comunicou a empresa sobre a falha e a empresa finalmente deu atenção para a vulnerabilidade. "Acreditamos que solucionamos o problema antes de ele ser explorado por pessoas mal-intencionados", disse o COO do Grindr, Rick Marini.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.