-
O Grindr é a maior rede social GBTQ do mundo, e o próprio cadastro já envolve uma questão importante de privacidade
-
Uma falha de design na página de redefinição de senha permitia redefinir e fazer login na conta de outra pessoa apenas sabendo seu endereço de e-mail
→ Ao solicitar a redefinição, a chave de redefinição podia ser vista nas ferramentas de desenvolvedor do navegador. Com isso, qualquer pessoa podia redefinir a senha
→ Da mesma forma, bastava saber o endereço de e-mail de outra pessoa para criar uma nova conta em nome dela, redefinir a senha e até alterar as configurações da conta
- A pessoa que descobriu o problema informou o Grindr, mas como não houve resposta, levou o caso até Troy Hunt
→ Troy é um especialista em segurança que opera o HIBP (Have I Been Pwned), serviço que informa se dados pessoais foram expostos em vazamentos
- Só depois que Troy tornou o caso público o Grindr corrigiu o problema e informou que abriria um Bug Bounty
1 comentários
Os fluxos de redefinição de senha e relacionados à conta podem causar um grande problema se não forem projetados corretamente.
Parece uma boa ideia verificar os próprios serviços com base em casos como este.