Falha grave no app gay Grindr permitia roubar contas com endereço de e-mail

Brecha permitia ter acesso a todos os dados pessoais, conversas e fotos sem grande conhecimento técnico
Renato Santino06/10/2020 01h34

20201005105624-1920x1080

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

O aplicativo de relacionamentos voltado a ao público gay, bissexual e trans Grindr tinha uma falha gravíssima de segurança, que permitia que qualquer um pudesse roubar uma conta sabendo apenas o endereço de e-mail de suas vítimas.

A falha em questão não dependia sequer de muito conhecimento técnico. Bastava incluir o endereço de e-mail para fazer o processo de resetar a senha. Normalmente, um link é enviado para a caixa de entrada do usuário para que ele faça o processo de criar uma nova senha. No entanto, bastava analisar o código-fonte da página, e o link era acessível por lá, dispensando a necessidade de acessar o e-mail para trocar a palavra-chave.

A partir daí, alguém com más intenções poderia trocar a senha de qualquer conta e tomar o controle total do perfil. A vulnerabilidade em questão se torna ainda mais grave diante da sensibilidade das informações com as quais o Grindr lida. Apps de relacionamentos já contam com muitas informações pessoais, e quando se lida com público LGBTQ a preocupação com as informações dos usuários precisa ser redobrada. O cibercriminoso poderia acessar dados como mensagens, imagens e até mesmo descobrir se a pessoa tem HIV, abrindo espaço para golpes ou simplesmente chantagens.

Troy Hunt, um dos especialistas que revelou a falha, afirmou que se trata de “uma das técnicas de roubo de contas mais básicas” que ele já viu.

Reprodução

Por sorte do Grindr, a vulnerabilidade foi descoberta por pesquisadores de segurança antes de cair na mão do cibercrime. Eles alertaram o Grindr sobre o problema que diz ter corrigido a brecha antes que alguém pudesse tirar proveito dela com intenções nefastas. “Somos gratos ao pesquisador que identificou a vulnerabilidade. O problema foi corrigido”, diz o comunicado da empresa ao site TechCrunch.

Hoje o Grindr tem cerca de 27 milhões de usuários pelo mundo, com 3 milhões de pessoas o utilizando todos os dias. O app pertence hoje a uma empresa americana, chamada San Vicente Acquisition LLC, após ser vendido pela companhia chinesa Beijing Kunlun, sob acusações de que o controle por uma empresa do país asiático seria uma ameaça à segurança nacional dos EUA.

Renato Santino é editor(a) no Olhar Digital