Pero no se alarmen porque ¿quién pone sus datos o información ultra confidencial en esta app además de nuestra ¡gulp! información sexual personal? Un fallo de seguridad de Grindr significaba que las cuentas podían ser fácilmente tomadas por hackers con nada más que una dirección de correo electrónico. El hack Grindr fue expuesto por el investigador de seguridad francés Wassime Bouimadaghene y fue posteriormente documentado por Troy Hunt y Scott Helme, ambos expertos en seguridad. En su investigación, Bouimadaghene descubrió que una vulnerabilidad en el sitio web de Grindr permitía a los potenciales hackers robar la cuenta de un usuario solicitando un restablecimiento de la contraseña.
El fallo de seguridad significaba que, si un hacker obtenía la dirección de correo electrónico registrada de un usuario, podía solicitar el restablecimiento de la contraseña. Esto enviaría un correo electrónico automático al usuario con una URL para restablecer su contraseña – sin embargo, Bouimadaghene descubrió que la misma URL se podía encontrar en el código del sitio web. El resultado, según el investigador, era que los hackers podían robar las cuentas de los usuarios de Grindr y acceder a montones de información personal y a menudo muy sensible, como fotos, mensajes, su orientación sexual y su estado de VIH.
Bouimadaghene se puso en contacto con Grindr personalmente para alertarles del fallo de seguridad, pero dijo que no recibió respuesta de la compañía. Eso lo llevó a contactar con Troy Hunt, el creador de Have I Been Pwned, un sitio web que permite a la gente averiguar si su dirección de correo electrónico o contraseña ha sido comprometida.
Troy Hunt investigó la brecha pidiendo al investigador de seguridad Scott Helme que se registrara en una cuenta de Grindr. Como sugería la investigación de Bouimadaghene, Hunt pudo hacerse cargo de la cuenta de Helme y posteriormente pudo acceder a través de la aplicación. El impacto del hack de Grindr es «obviamente significativo». Escribiendo en su sitio web, Hunt dijo: «Esta es una de las técnicas más básicas de toma de cuentas que he visto… La facilidad de explotación es increíblemente baja y el impacto es obviamente significativo, así que claramente esto es algo que debe tomarse en serio». Hunt también confirmó que Bouimadaghene compartió los resultados de su investigación con Grindr el 24 de septiembre.