Un semplice “copia e incolla” permetteva di accedere a un profilo qualunque di Grindr. Bastava conoscere l’indirizzo email utilizzato. Ora la falla è stata riparata.
Grindr, la più grande applicazione di incontri dedicata alla community lgbt+, aveva una pericolosissima vulnerabilità di sicurezza che avrebbe potuto consentire a chiunque di prendere il controllo di un account semplicemente usando l’azione di “copia e incolla”.
Con circa 27 milioni di utenti Grindr conta circa 3 milioni di accessi giornalieri e non è nuova a scivoloni nel campo della sicurezza dei propri utenti. L’applicazion è stata usata nel 2014 dagli agenti della polizia egiziana per identificare la comunità lgbt+ mentre più recentemente, nel 2019, l’applicazione avrebbe concesso a degli ingegneri di Pechino di accedere ai dati personali di milioni di utenti statunitensi.
La vulnerabilità protagonista dell’attuale vicenda è stata individuata dal ricercatore di sicurezza francese Wassime Bouimadaghene che, come avviene in questi casi, ha immediatamente riportato la falla nella sicurezza alla società interessata. Non ricevendo, però, alcuna risposta da Grindr, il ricercatore ha condiviso i dettagli con Troy Hunt, esperto di cybersicyurezza e fondatore del sito Have I been pwned?, in cerca di un aiuto.
Hunt ha convinto un suo amico a creare un finto profilo di Grindr per verificare la vulnerabilità. È bastato poi inserire l’indirizzo email del profilo bersaglio e chiedere una nuova password per accedere al token di ripristino.
È bastato utilizzare gli Strumenti per sviluppatori contenuti nel browser per accedere alla chiave necessaria per entrare nell’account bersaglio che Grindr ha lasciato incustodita nel backend del sito.
Copiando e incollando il token di ripristino non è stato necessario accedere alla casella di posta elettronica della vittima per ottenere la chiave d’accesso. Dopo aver inserito su Grindr e reimpostato la nuova password, le porte dell’account si sono aperte e l’applicazione ha chiesto di sincronizzare sul dispositivo tutte le chat del profilo dando così pieno accesso a tutti i dati dell’utente.
“Questa è una delle tecniche di acquisizione dell’account più basilari che ho visto”, ha commentato Hunt nel suo blogpost. “Non riesco a capire perché il token di ripristino, che dovrebbe essere una chiave segreta, viene restituito nel corpo della risposta di una richiesta emessa in modo anonimo. La facilità di exploit è incredibilmente bassa e l’impatto è ovviamente significativo, quindi chiaramente questo è qualcosa da prendere sul serio”.
Grindr ospita moltissime informazioni personali dei suoi utenti come l’orientamento sessuale, le proprie generalità e il proprio stato di positività o meno all’Hiv. Lasciando però “nascosta sotto lo zerbino” la chiave d’accesso ai profili, l’applicazione ha trascurato la sicurezza dei propri utenti esponendo i loro dati a possibili violazioni.
“Siamo grati al ricercatore che ha identificato una vulnerabilità”, ha commentato a Tech Crunch Rick Marini, il direttore operativo della società. “Il problema segnalato è stato risolto. Per fortuna, riteniamo di aver risolto il problema prima che venisse sfruttato da parti malintenzionate”.
Leggi anche
Potrebbe interessarti anche