-
Grindr es la red social LGBTQ más grande del mundo, por lo que el simple hecho de registrarse ya supone un importante tema de privacidad
-
Un fallo de diseño en la página de restablecimiento de contraseña hacía posible restablecer la cuenta e iniciar sesión con solo conocer la dirección de correo electrónico de otra persona
→ Al solicitar el restablecimiento, la clave de restablecimiento podía verse en las herramientas para desarrolladores del navegador. Con eso, cualquiera podía restablecerla
→ Del mismo modo, si se conocía solo la dirección de correo electrónico de otra persona, era posible crear una cuenta nueva a su nombre, restablecer la contraseña y también configurar la cuenta
- La persona que lo descubrió se lo informó a Grindr, pero como no hubo respuesta, se lo comunicó a Troy Hunt
→ Troy es un experto en seguridad que opera HIBP (Have I Been Pwned), un servicio que informa si los datos personales han sido expuestos en filtraciones
- Grindr corrigió el problema solo después de que Troy hiciera público el caso, y luego informó que pondría en marcha un Bug Bounty
1 comentarios
Los flujos de restablecimiento de contraseña y de cuentas pueden causar problemas graves si no se diseñan correctamente.
Parece buena idea revisar cada servicio propio tomando como referencia casos como este.