Grindr-sårbarhed tillod hackere at nulstille kontos adgangskoder og overtage konti

En betydelig Grindr-sårbarhed blev opdaget i september 2020. Sikkerhedsproblemet tillod dårlige aktører at overtage en brugers Grind-konto, hvis de blot kendte brugerens e-mail-adresse.

Det voksneorienterede sociale netværk havde et meget vigtigt problem med sikkerhed . En hacker havde kun brug for en bruger-e-mail-adresse for at knække en åben konto. Indføring af e-mailen på siden "Find din konto" i tjenesten - svarende til formularen "Jeg har glemt mit kodeord", bragte en botcheck Captcha-formular op og viste derefter en besked om, at en e-mail med nulstilling af adgangskode var blevet sendt. Åbning af browserens dev-værktøjer, et simpelt tastetryk i Chrome, bragte imidlertid det interne Grindr-adgangskodetilpasningstoken op, lige der i sidens kode.

At have brugerens e-mail-adresse kombineret med adgangskoden til nulstilling af adgangskode var nok til at give dårlige aktører adgang til den aktuelle anmodning om adgangskode, der er knyttet til den e-mail, der sendes af tjenesten. Fra dette tidspunkt er det børnespil at ændre adgangskoden og overtage kontoen.

Når du logger ind på den hackede konto ved hjælp af den nyoprettede adgangskode, blev der vist et pop-up-vindue, der fortæller brugeren at bekræfte login via mobilappen. Hvis du mener, at dette er tofaktorbekræftelse knyttet til dit telefonnummer, er det ikke. Sikkerhedsforsker Troy Hunt, der gennemførte dette lille eksperiment på hvid hat-måde og udsatte sårbarheden med hjælp fra et par af hans kolleger, loggede simpelthen ind på den nykaprede konto fra sin egen mobil ved hjælp af det nyligt ændrede kodeord og e-mailen adresse og det var det - kontoen var hans at gøre med, som han ville.

Hunt sagde faktisk, at sårbarheden var blandt "de mest grundlæggende teknikker til kontoovertagelse", han nogensinde var stødt på i sine mange års arbejde. Heldigvis lykkedes det Hunt efter nogle indledende forhindringer med at kontakte Grindr-repræsentanter på Twitter og skabe lidt ophidselse med et offentligt tweet om sårbarheden at komme i kontakt med platformens sikkerhedsteam. Sårbarheden er siden blevet rettet af Grindrs udviklere.

Grindr træder ind med en løsning

Grindr-repræsentanter erklærede, at problemet blev opdaget og patchet ud, før dårlige skuespillere var i stand til at misbruge det. Den sociale platform annoncerede desuden sine planer om at lancere et nyt bugjagtprogram i overskuelig fremtid.

Denne hændelse viser, at nogle gange, uanset hvor sikker din adgangskode er, og uanset hvor investeret du er i din personlige cybersikkerhed, er skæbnen for dine oplysninger og konti undertiden simpelthen ikke i dine hænder, og du kan ikke gøre meget ved en angrebsvektor svarende til den der blev opdaget med Grindrs sårbarhed.

Selvfølgelig betyder det ikke, at du skal være forsigtig eller skødesløs. I lignende angreb, der ikke involverer brugeren på nogen måde, er dit bedste valg at bruge en platforms tofaktorautentificering og sikre din konto med den, så snart den bliver tilgængelig, hvis den ikke allerede er.

October 6, 2020

Efterlad et Svar