Grindr, l’une des plus grandes applications de rencontres et de réseaux sociaux au monde pour les personnes gays, bi, trans et queer, a corrigé une faille de sécurité qui permettait à quiconque de détourner et de prendre le contrôle du compte de n’importe quel utilisateur en utilisant uniquement son adresse e-mail.

Wassime Bouimadaghene, un chercheur français en sécurité, a découvert la vulnérabilité et a signalé le problème à Grindr. Lorsqu’il n’a pas reçu de réponse, Bouimadaghene a partagé les détails de la vulnérabilité avec l’expert en sécurité Troy Hunt pour l’aider.

La vulnérabilité a été corrigée peu de temps après.

Hunt a testé et confirmé la vulnérabilité avec l’aide d’un compte de test mis en place par Scott Helme, et a partagé ses découvertes avec TechCrunch.

Bouimadaghene a trouvé la vulnérabilité dans la façon dont l’application gère les réinitialisations de mot de passe de compte.

Pour réinitialiser un mot de passe, Grindr envoie à l’utilisateur un e-mail avec un lien cliquable contenant un jeton de réinitialisation du mot de passe du compte. Une fois cliqué, l’utilisateur peut changer son mot de passe et est autorisé à revenir dans son compte.

Mais Bouimadaghene a constaté que la page de réinitialisation de mot de passe de Grindr divulguait des jetons de réinitialisation de mot de passe dans le navigateur. Cela signifiait que n’importe qui pouvait déclencher la réinitialisation du mot de passe qui avait connaissance de l’adresse e-mail enregistrée d’un utilisateur et collecter le jeton de réinitialisation du mot de passe à partir du navigateur s’il savait où chercher.

Les jetons secrets utilisés pour réinitialiser les mots de passe des comptes Grindr, qui ne sont censés être envoyés qu’à la boîte de réception d’un utilisateur, fuyaient vers le navigateur. (Image: Troy Hunt / fourni)

Le lien cliquable que Grindr génère pour une réinitialisation de mot de passe est formaté de la même manière, ce qui signifie qu’un utilisateur malveillant peut facilement créer son propre lien de réinitialisation de mot de passe cliquable – le même lien qui a été envoyé à la boîte de réception de l’utilisateur – en utilisant le jeton de réinitialisation de mot de passe divulgué depuis le navigateur. .

Grâce à ce lien conçu, l’utilisateur malveillant peut réinitialiser le mot de passe du propriétaire du compte et accéder à son compte et aux données personnelles stockées, y compris les photos du compte, les messages, l’orientation sexuelle et le statut VIH et la date du dernier test.

«C’est l’un des plus basiques …

Voir la source de cette publication