Durch die Sicherheitslücke in Grindr konnten Hacker die Passwörter von Konten zurücksetzen und Konten übernehmen

Im September 2020 wurde eine erhebliche Sicherheitslücke in Grindr entdeckt. Das Sicherheitsproblem ermöglichte es schlechten Akteuren, das Grind-Konto eines Benutzers zu übernehmen, wenn sie lediglich die E-Mail-Adresse des Benutzers kannten.

Das auf Erwachsene ausgerichtete soziale Netzwerk hatte ein sehr wichtiges Problem mit der Sicherheit . Ein Hacker benötigte nur eine Benutzer-E-Mail-Adresse, um ein Konto zu knacken. Wenn Sie die E-Mail in die Seite "Suchen Sie Ihr Konto" des Dienstes eingeben, entspricht dies einem Formular "Ich habe mein Passwort vergessen". Es wurde ein Captcha-Formular zur Bot-Überprüfung aufgerufen und anschließend die Meldung angezeigt, dass eine E-Mail zum Zurücksetzen des Passworts gesendet wurde geschickt. Beim Öffnen der Entwicklertools des Browsers, einem einfachen Tastendruck in Chrome, wurde jedoch das interne Grindr-Kennwort-Reset-Token genau dort im Code der Seite angezeigt.

Die E-Mail-Adresse des Benutzers mit dem Token zum Zurücksetzen des Kennworts zu kombinieren, reichte aus, um schlechten Akteuren Zugriff auf die eigentliche Kennwortanforderung zu gewähren, die in der vom Dienst gesendeten E-Mail verknüpft ist. Ab diesem Zeitpunkt ist das Ändern des Passworts und die Übernahme des Kontos ein Kinderspiel.

Wenn Sie sich mit dem neu erstellten Kennwort bei dem gehackten Konto anmelden, wird ein Popup-Fenster angezeigt, in dem der Benutzer aufgefordert wird, die Anmeldung über die mobile App zu bestätigen. Wenn Sie der Meinung sind, dass dies eine Zwei-Faktor-Überprüfung ist, die mit Ihrer Telefonnummer verknüpft ist, ist dies nicht der Fall. Der Sicherheitsforscher Troy Hunt, der dieses kleine Experiment in White-Hat-Manier durchführte und die Sicherheitsanfälligkeit mithilfe einiger seiner Kollegen aufdeckte, loggte sich einfach mit seinem neu geänderten Passwort und der E-Mail von seinem eigenen Handy aus in das frisch entführte Konto ein Adresse und das wars - der Account hatte mit ihm zu tun, was er wollte.

Hunt gab tatsächlich an, dass die Sicherheitslücke zu den "grundlegendsten Techniken zur Übernahme von Konten" gehört, auf die er in seiner jahrelangen Arbeit jemals gestoßen war. Zum Glück gelang es Hunt nach einigen anfänglichen Hürden, Grindr-Vertreter auf Twitter zu kontaktieren und mit einem öffentlichen Tweet über die Sicherheitsanfälligkeit für Aufsehen zu sorgen, Kontakt mit dem Sicherheitsteam der Plattform aufzunehmen. Die Sicherheitsanfälligkeit wurde inzwischen von den Entwicklern von Grindr behoben.

Grindr tritt mit einem Fix ein

Vertreter von Grindr gaben an, dass das Problem entdeckt und behoben wurde, bevor schlechte Schauspieler es missbrauchen konnten. Die soziale Plattform kündigte ferner ihre Pläne an, in absehbarer Zeit ein neues Kopfgeldprogramm für die Insektenjagd zu starten.

Dieser Vorfall zeigt, dass manchmal, egal wie sicher Ihr Passwort ist und wie viel Sie in Ihre persönliche Cybersicherheit investiert haben, das Schicksal Ihrer Informationen und Konten manchmal einfach nicht in Ihren Händen liegt und Sie wenig gegen einen ähnlichen Angriffsvektor tun können derjenige, der mit Grindrs Verwundbarkeit entdeckt wurde.

Dies bedeutet natürlich nicht, dass Sie nachlässig oder nachlässig sein sollten. Bei ähnlichen Angriffen, an denen der Benutzer in keiner Weise beteiligt ist, verwenden Sie am besten die Zwei-Faktor-Authentifizierung einer Plattform und sichern Ihr Konto damit, sobald sie verfügbar ist, sofern dies noch nicht geschehen ist.

October 6, 2020

Antworten