Grindr-sårbarhed tillod hackere at nulstille kontos adgangskoder og overtage konti

En betydelig Grindr-sårbarhed blev opdaget i september 2020. Sikkerhedsproblemet tillod dårlige aktører at overtage en brugers Grind-konto, hvis de blot kendte brugerens e-mail-adresse.

Det voksneorienterede sociale netværk havde et meget vigtigt problem med sikkerhed . En hacker havde kun brug for en bruger-e-mail-adresse for at knække en åben konto. Indføring af e-mailen på siden "Find din konto" i tjenesten - svarende til formularen "Jeg har glemt mit kodeord", bragte en botcheck Captcha-formular op og viste derefter en besked om, at en e-mail med nulstilling af adgangskode var blevet sendt. Åbning af browserens dev-værktøjer, et simpelt tastetryk i Chrome, bragte imidlertid det interne Grindr-adgangskodetilpasningstoken op, lige der i sidens kode.

At have brugerens e-mail-adresse kombineret med adgangskoden til nulstilling af adgangskode var nok til at give dårlige aktører adgang til den aktuelle anmodning om adgangskode, der er knyttet til den e-mail, der sendes af tjenesten. Fra dette tidspunkt er det børnespil at ændre adgangskoden og overtage kontoen.

Når du logger ind på den hackede konto ved hjælp af den nyoprettede adgangskode, blev der vist et pop-up-vindue, der fortæller brugeren at bekræfte login via mobilappen. Hvis du mener, at dette er tofaktorbekræftelse knyttet til dit telefonnummer, er det ikke. Sikkerhedsforsker Troy Hunt, der gennemførte dette lille eksperiment på hvid hat-måde og udsatte sårbarheden med hjælp fra et par af hans kolleger, loggede simpelthen ind på den nykaprede konto fra sin egen mobil ved hjælp af det nyligt ændrede kodeord og e-mailen adresse og det var det - kontoen var hans at gøre med, som han ville.

Hunt sagde faktisk, at sårbarheden var blandt "de mest grundlæggende teknikker til kontoovertagelse", han nogensinde var stødt på i sine mange års arbejde. Heldigvis lykkedes det Hunt efter nogle indledende forhindringer med at kontakte Grindr-repræsentanter på Twitter og skabe lidt ophidselse med et offentligt tweet om sårbarheden at komme i kontakt med platformens sikkerhedsteam. Sårbarheden er siden blevet rettet af Grindrs udviklere.

Grindr træder ind med en løsning

Grindr-repræsentanter erklærede, at problemet blev opdaget og patchet ud, før dårlige skuespillere var i stand til at misbruge det. Den sociale platform annoncerede desuden sine planer om at lancere et nyt bugjagtprogram i overskuelig fremtid.

Denne hændelse viser, at nogle gange, uanset hvor sikker din adgangskode er, og uanset hvor investeret du er i din personlige cybersikkerhed, er skæbnen for dine oplysninger og konti undertiden simpelthen ikke i dine hænder, og du kan ikke gøre meget ved en angrebsvektor svarende til den der blev opdaget med Grindrs sårbarhed.

Selvfølgelig betyder det ikke, at du skal være forsigtig eller skødesløs. I lignende angreb, der ikke involverer brugeren på nogen måde, er dit bedste valg at bruge en platforms tofaktorautentificering og sikre din konto med den, så snart den bliver tilgængelig, hvis den ikke allerede er.

I Zaib
October 6, 2020
Password Security
Dansk
October 6, 2020
Password Security

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

4 days siden

Trojan Al11 Malware Detektion

11 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.