2020/10/04

Grindr deixava qualquer pessoa apoderar-se da conta de outras


O Grindr, app de encontros para gays / bi / trans, tinha uma flagrante falha de segurança que permitia que qualquer pessoa se apoderasse da conta de outro utilizador bastando saber o seu email.

Existem inúmeros serviços que, ainda hoje, contêm processos de recuperação de password que podem revelar informação que não deveriam revelar (como os que dizem se um determinado email existe ou não). No entanto, no caso do Grindr a falha era imensamente mais grave, pois permitia que qualquer pessoa se apoderasse de imediato da conta de outro utilizador, bastando saber o seu endereço de mail.


O processo de recuperação de password no Grindr consiste em ir ao site e introduzir o email, e essa pessoa receberá um email com um link para proceder à definição de uma nova password - até aí, tudo bem. O que não estava nada bem era que, na própria página em que era pedida a reposição da password, o site divulgava desde logo o token de segurança necessário para fazer a reposição da password! Ou seja, estava a dar a qualquer pessoa que pedisse a reposição da conta de qualquer email, a chave para ter acesso a essa conta.

É assustador pensar como um serviço como este, que deveria ter a privacidade dos seus utilizadores ainda mais em atenção que qualquer outro serviço, comete uma falha tão básica - e ainda para mais sendo um serviço que se assumiria que tivesse as devidas competências para operar de forma segura. Serve para demonstrar que realmente não se pode confiar que, por trás de um serviço online, não se esconda uma manta de retalhos com as mais básicas e inaceitáveis falhas de segurança.

Sem comentários:

Publicar um comentário (problemas a comentar?)

[pub]