Une faille de sécurité aurait pu permettre à quiconque d’accéder à votre compte Grindr

Par

le

Une faille de l’application de rencontre Grindr permettait de détourner des comptes et d’en prendre le contrôle uniquement avec l’adresse électronique.

On pourrait penser qu’une application de rencontres qui connaît votre sexualité et votre statut sérologique prendrait des précautions rigoureuses pour protéger ces informations, mais Grindr a une fois de plus déçu ses utilisateurs, cette fois, avec une vulnérabilité de sécurité extrêmement flagrante qui aurait pu laisser littéralement n’importe qui qui pourrait deviner votre adresse e-mail dans votre compte utilisateur.

Heureusement, le chercheur français en sécurité Wassime Bouimadaghene a découvert la vulnérabilité, peut-être avant qu’elle ne puisse être exploitée, et elle a maintenant été corrigée.

Malheureusement pour Grindr, la société a ignoré ses révélations jusqu’à ce que le chercheur en sécurité Troy Hunt (du site Have I Been Pwned) et le journaliste Zack Whittaker (de TechCrunch) aient chacun confirmé le problème et écrit à ce sujet.

Les détails doivent être vus pour être crus (veuillez donc regarder l’image ci-dessus) mais la version courte est la suivante: si vous mettez une adresse e-mail dans le formulaire de réinitialisation du mot de passe de Grindr, il enverra un message à votre navigateur Web avec la clé vous devez réinitialiser le mot de passe enfoui à l’intérieur.

Vous pourriez alors théoriquement simplement copier et coller cette clé dans une URL de réinitialisation de mot de passe (ce que Hunt a fait), et prendre en charge un compte comme ça.

Le COO de Grindr, Rick Marini, a déclaré à TechCrunch que «nous pensons avoir résolu le problème avant qu’il ne soit exploité par des parties malveillantes», et déclare que Grindr s’associera à la fois à une «entreprise de sécurité de premier plan» et introduira un programme de prime de bugs. J’espère que cela devrait signifier que les chercheurs en sécurité comme Bouimadaghene auront plus de facilité à entrer en contact.

Encore une fois, il ne s’agit pas simplement d’une application contenant quelques messages. Les utilisateurs de Grindr incluent des personnes homosexuelles, bi, trans et queer, et la simple présence de l’application sur le téléphone d’une personne peut indiquer quelque chose sur sa sexualité qu’elle ne souhaite pas révéler au monde extérieur. Et pourtant, c’est l’entreprise qui a été surprise en train de partager la séropositivité de ses utilisateurs avec d’autres entreprises et de partager d’autres informations personnelles avec des annonceurs tiers.

Cela dit, il se peut que ce soit une entreprise légèrement différente maintenant. En mars dernier, les propriétaires chinois de la société l’ont vendue à un groupe d’investisseurs américains, qui est également devenu la nouvelle direction de Grindr. Marini, le COO cité par TechCrunch, était l’un des investisseurs du groupe. Un autre, Jeff Bonforte, est le nouveau PDG de l’entreprise.


Articles recommandés