-
Grindr est le plus grand réseau social LGBTQ au monde, et l’inscription elle-même soulève d’importants enjeux de confidentialité
-
Un défaut de conception de la page de réinitialisation du mot de passe permettait de réinitialiser le compte de quelqu’un et de s’y connecter en connaissant seulement son adresse e-mail
→ Lors d’une demande de réinitialisation, la clé de réinitialisation était visible dans les outils de développement du navigateur. N’importe qui pouvait donc réinitialiser le mot de passe
→ De la même façon, il était possible, avec la seule adresse e-mail d’une autre personne, de créer un nouveau compte à son nom, de réinitialiser le mot de passe et même de modifier les paramètres du compte
- La personne qui a découvert la faille l’a signalée à Grindr, mais faute de réaction, elle en a informé Troy Hunt
→ Troy Hunt est un expert en sécurité qui gère HIBP (Have I Been Pwned), un service qui informe sur les fuites de données personnelles
- Ce n’est qu’après la publication de ces informations par Troy que Grindr a corrigé le problème et annoncé le lancement d’un bug bounty
1 commentaires
Les flux de réinitialisation de mot de passe et ceux liés au compte peuvent avoir de graves conséquences s’ils ne sont pas correctement conçus.
Ce type de cas montre qu’il vaut mieux vérifier le fonctionnement de ses propres services.