Après la découverte d’une vulnérabilité sérieuse, la plate-forme de rencontres Grindr a annoncé son intention de lancer un programme de prime aux bogues pour améliorer la sûreté et la sécurité de son application.
Grindr, une application de rencontres et de réseautage social populaire pour les personnes gays, bi, trans et queer, a annoncé son intention d’introduire un programme de primes aux bogues pour faire face aux risques potentiels de confidentialité et de sécurité.
L’annonce intervient après que le chercheur en sécurité français, Wassime Bouimadaghene, ait repéré une vulnérabilité qui permettait la réinitialisation du mot de passe sans accéder à la boîte de réception d’un utilisateur. Selon TechCrunch, Bouimadaghene a signalé le problème à Grindr et n’a reçu aucune réponse.
Le chercheur français a ensuite contacté l’expert en cybersécurité Troy Hunt, qui a testé et confirmé la vulnérabilité avant de partager les détails avec TechCrunch. Hunt est le créateur de HaveIBeenPwned.com, une plateforme qui permet aux internautes de vérifier si leurs données personnelles ont été compromises par des violations de données.
Après l’implication de Hunt, Grindr a publié une déclaration indiquant que la faille de sécurité avait maintenant été corrigée.
La vulnérabilité
Bouimadaghene a découvert que Grindr gérait les réinitialisations de mot de passe d’une manière particulière. Comme beaucoup d’autres plates-formes, Grindr envoie des e-mails aux utilisateurs avec un lien contenant un jeton de réinitialisation du mot de passe du compte, ce qui permet à un utilisateur de changer son mot de passe et de retrouver l’accès à son compte.
Cependant, Hunt a décrit le problème dans un article de blog, qui existait sur la page de réinitialisation du mot de passe de Grindr. Une fois qu’une adresse e-mail enregistrée a été saisie sur la page de réinitialisation, n’importe quel utilisateur pouvait ouvrir les outils de développement de la page Web pour afficher l’URL de réinitialisation qui avait été envoyée à l’utilisateur, ce qui aurait pu permettre aux pirates de contourner la boîte de réception d’un utilisateur Grindr.
Hunt a commenté: « C’est l’une des techniques de prise de contrôle de compte les plus élémentaires que j’ai vues. »
Hunt a noté que de par sa nature, les profils Grindr contiennent des informations extrêmement sensibles sur les utilisateurs de la plate-forme, y compris leur orientation sexuelle et leur statut sérologique VIH, ainsi que toutes les photographies qu’ils échangent avec d’autres utilisateurs.
Dans une déclaration à TechCrunch, le directeur de l’exploitation de Grindr, Rick Marini, a déclaré que la société espérait améliorer la sûreté et la sécurité de la plate-forme de rencontres.
Marini a déclaré: «Nous nous associons à une société de sécurité de premier plan pour simplifier et améliorer la capacité des chercheurs en sécurité à signaler des problèmes tels que ceux-ci.
«De plus, nous annoncerons bientôt un nouveau programme de prime aux bogues pour fournir des incitations supplémentaires aux chercheurs pour nous aider à maintenir la sécurité de notre service à l’avenir.»
L’histoire de Grindr avec confidentialité
Plus tôt cette année, Grindr a été vendu par ses propriétaires chinois à un groupe d’investisseurs américains pour environ 608,5 millions de dollars. La vente a été organisée après qu’un comité du gouvernement américain a exprimé des préoccupations en matière de sécurité nationale concernant la propriété de l’application par Beijing Kunlun Tech.
La découverte de Bouimadaghene n’était pas le premier problème de confidentialité que l’entreprise a traité. En 2018, il est apparu que Grindr avait a partagé ses données sur son statut VIH avec deux sociétés distinctes, qui étaient Apptimize et Localytics.
Les deux sociétés, qui aident à optimiser les applications, ont reçu des informations que les utilisateurs de Grindr ont choisi de partager sur leurs profils, qui comprenaient leur statut sérologique, la dernière date à laquelle ils ont été testés pour le VIH et s’ils prenaient ou non la PrEP, un médicament qui abaisse le risque de contracter le VIH.
Le problème a été repéré par des chercheurs de l’association norvégienne à but non lucratif SINTEF. Les chercheurs ont découvert que Grindr avait également partagé d’autres informations sur les utilisateurs, y compris la localisation GPS, la sexualité, l’état de la relation et l’identifiant de téléphone avec des agences de publicité, dans certains cas sans cryptage.
Après l’annonce de la nouvelle, Grindr a annoncé qu’il cesserait de partager la séropositivité des utilisateurs, bien que l’ancien CSO de la société, Bryce Case, ait affirmé que Grindr était «distingué» à la lumière de la Scandale Cambridge Analytica.
Avant cela, Grindr était sous les projecteurs après que des chercheurs en sécurité de l’Université de Kyoto au Japon aient trouvés que c’était possible pour un individu hautement déterminé pour localiser exactement un utilisateur.
Auteur/autrice
