Grindr, una falla del sistema ha reso accessibili i dati personali

di Walter Ferri

Per una goffaggine di programmazione, la dating app Grindr concedeva l’accesso ai dati dei suoi utenti a tutti coloro che indovinavano la loro email.

Ennesimo guaio per il social di incontri gay, bisex, trans e queer. Ieri la testata Tech Crunch ha reso noto un difetto per cui qualsiasi internauta dotato di malizia avrebbe potuto sabotare l’accesso ai profili, ottenendone l’accesso. La falla è stata tamponata velocemente, ma non è comunque dato sapere se l’errore abbia comportato danni concreti.

Violare il sistema era semplice, una volta che si sapeva come agire: era sufficiente inserire la mail del malcapitato, chiedere il cambio password e “intercettare” il codice provvisorio che il sito mandava in automatico sul web browser utilizzato.

Non un procedimento immediato, ma alla portata di tutti coloro che sono capaci a navigare un minimo i menù d’ispezione offerti da software di navigazione quali Chrome o Safari.

Il difetto è stato scoperto dal security researcher Wassime Bouimadaghene e testato dal più celebre collega Troy Hunt di Have I been Pwned.

Si tratta di una delle più elementari tecniche che abbia mai visto per impossessarsi degli account. Non riesco a comprendere perché il token di reset – che dovrebbe essere una chiave segreta – sia rimbalzato nel corpo di risposta di una richiesta emessa anonimamente.

La semplicità di utilizzo [di questa tecnica] è incredibilmente bassa e l’impatto è ovviamente significativo, quindi questo è un qualcosa che bisogna prendere seriamente,

ha scritto Hunt sul suo blog.

Tra il 2018 e il 2020, Grindr era già finito sotto i riflettori per aver girato ad aziende terze le informazioni sullo stato di HIV dei suoi utenti, nonché per aver condiviso i dati degli iscritti ad aziende pubblicitarie.

Da allora l’app ha tuttavia cambiato gestione, passando da una proprietà cinese a una statunitense. Questa è la prima crisi che la nuova azienda deve affrontare e solo il tempo potrà rivelare come sia stata gestita la faccenda.

 

Potrebbe anche interessarti:

App Immuni
Immuni esce dai confini dell’Italia: dal 17 ottobre funzionerà anche in altri due Paesi

 

 

TAG
Grindr multata di 10 milioni di euro per aver infranto la GDPR
Grindr multata di 10 milioni di euro per aver infranto la GDPR
Google vuole eliminare i cookies e sostituirli con un sistema centralizzato
Google vuole eliminare i cookies e sostituirli con un sistema centralizzato
Facebook Dating sbarca oggi anche in Europa
Facebook Dating sbarca oggi anche in Europa
Errore di Razer, pubblicati online 100.000 dati utente
Errore di Razer, pubblicati online 100.000 dati utente
Dark Web, in vendita altri 73 milioni di dati personali
Dark Web, in vendita altri 73 milioni di dati personali
Cookie: l'UE cerca di risolvere definitivamente il problema
Cookie: l'UE cerca di risolvere definitivamente il problema
Un bug su Facebook ha reso pubblici i contenuti di 14 milioni di utenti
Un bug su Facebook ha reso pubblici i contenuti di 14 milioni di utenti