Un experto en seguridad informática descubrió una falla de seguridad en la app de citas Grindr, una red social ideada para concretar encuentros con personas del mismo sexo. Además, se diferencia de otras plataformas digitales por contar con información como las preferencias sexuales de los usuarios y si tienen HIV.
// Un hombre mató a su cita de Grindr, le cortó los testículos y se los comió en Nochebuena
“Grindr decepcionó otra vez”, dice The Verge respecto a esta vulnerabilidad que dejó al descubierto las cuentas de los usuarios. En este punto cabe señalar que la plataforma ya solucionó el error y, al parecer, ningún pirata informático aprovechó la brecha para conseguir información sensible. Sin embargo, los responsables de la aplicación demoraron en dar una respuesta.
El investigador Wassime Boumadaghene comentó que Grindr ignoró sus advertencias y que la empresa que gestiona la app recién tomó cartas en el asunto cuando TechCrunch publicó un informe que confirmaba el problema de seguridad en la herramienta.
Una falla insólita
Tal como señalamos, las cuentas de los usuarios estuvieron a merced de los atacantes. En concreto, sólo era necesario introducir una dirección de email asociada a una cuenta de Grindr para que el sistema envíe una clave para la restauración. ¿Cuál es el problema? Ese password también aparecía en el navegador.
En tanto, cualquier persona que siga ese procedimiento podría haber accedido a las cuentas, sencillamente pegando la clave en la URL, de esa forma cambiando la contraseña de la cuenta. Así, el intruso se apoderaría del perfil, de la información y contenido del mismo. El único dato que necesitaría es una dirección de correo electrónico asociada a Grindr.
“Creemos que abordamos el problemas antes de que fuera explotado por partes malintencionadas”, dijo el director de operaciones de la app, Rick Marini. Además señaló que se asociarán con una empresa de seguridad y que iniciarán un programa de recompensas por errores, una práctica común en muchas compañías del sector que consiste en premiar a quienes descubren fallas y las reportan oportunamente.
Fundada en 2009, Grindr perteneció a una firma china y marzo de este año pasó a manos de un grupo de inversores estadounidenses. Además de los mencionados, la app maneja datos de los usuarios como su edad, número telefónico, ubicación geográfica, correo electrónico e intereses generales.
// La app de citas Grindr compartió datos de VIH de sus usuarios
En 2018 la app fue eje de una fuerte polémica tras el hallazgo de que compartió información de sus usuarios sin su consentimiento. La transmisión se realizó a las firmas Apptimize y Localytics, dedicadas a optimizar aplicaciones, fue identificada en principio por la organización sin fines de lucro Sintef.
