De acordo com um relatório da NBC o aplicativo de encontros gays, Grindr, foi afetado por dois problemas de segurança ( que foram corrigidos ) mas infelizmente acabaram expondo informações de mais de 3 milhões de usuários diários.

Um vazamento deste tipo pode ter um grande impacto. Isto porque sabemos que muitas pessoas até pelo impacto social deste tipo de opção sexual optam por uma vida dupla.

E este impacto pode ser entendido porque o invasor poderia ter explorado o recurso paŕa acessar dados de localização, mensagens privadas para outros usuários e informações de perfil mesmo que a pessoa tivesse optado por não compartilhar estas informações.

As falhas de segurança foram identificadas por Trever Faden, CEO da startup de gestão de propriedades Atlas Lane enquanto ele trabalhava no seu site C* ckblocked que permitia aos usuários ver quem os bloqueava no Grindr.

Faden descobriu que uma vez que um Grindr logasse em seu serviço era possível acessar uma quantidade enorme de dados relacionados a sua conta Grindr incluindo mensagens não lida, endereços de email e até … fotos excluídas.

A NBC observou que o C* ckblocked havia exporado uma “lacuna de segurança similar” a uma que foi usada recentemente pela Cambridge Analytica para criar o perfil de mais de 50 milhões de usuários do Facebook.

É um ataque bem complicado. Até porque por mais que se avise usuários para que os mesmos não usem serviços de terceiros para acessar suas contas boa parte deles acaba cometendo este erro.

E calma. Se você é um João Ninguém, não se preocupe. Mas imagine você como um político ou líder religioso que tem uma vida dupla e uma pessoa lhe manda um email explorando esta funcionalidade para captar os dados do seu perfil ? Já imaginou o estrago né ?

“O Grindr tornou pública a localização de muitos de seus usuários mas permitia que os usuários desativassem este recurso. Faden descobriu que ele poderia encontrar a localização dos seus usuários que optaram por sair caso eles tivessem conectado o seu perfil Grindr através do seu site.” – relata a NBC.

“Poderíamos sem muita dificuldade ou mesmo muita habilidade tecnológica identificar facilmente a localização exata de um usuário “, explicou Faden.

O Grindr confirmou que estava ciente do problema descoberto por Faden e que havia corrigido os mesmos. Faden desligou o serviço depois que o Grindr mudou sua política de acesso a dados que os usuários haviam bloqueado para outros usuários.

O Grindr recomenda que seus usuários evitem o uso de logins no Grindr em outros aplicativos ou serviços da web.

“O Grindr agiu rapidamente para fazer as correções em sua plataforma para resolver o problema”, disse a empresa em um comunicado. “O Grindr lembra a todos os seus usuários que eles nunca devem fornecer seu nome deu suário e senha a terceiros que alegam fornecer um benefício, pois eles não estão autorizados pela Grindr e poderiam ter uma intenção maliciosa.”

A empresa publicou em seu Twitter a seguinte declaração.

O mais complexo é que há histórico deste tipo de problemas na plataforma. Em 2014 pesquisadores da empresa de segurança Synack descobriram uma falha que permitia a qualquer usuários ver os perfis e locais das pessoas.

Infelizmente, como podemos ver os problemas não haviam sido completamente resolvido e dois anos depois, a Wired publicou um artigo bem interessante sobre os experimentos de especialistas que conseguiam descobrir a localização dos usuários.

Via Security Affairs