A Grindr biztonsági rése lehetővé tette a hackerek számára a fiókok jelszavainak alaphelyzetbe állítását és a fiókok átvételét
Jelentős Grindr biztonsági rést fedeztek fel 2020 szeptemberében. A biztonsági kérdés lehetővé tette a rossz szereplők számára, hogy átvegyék a felhasználó Grind-fiókját, ha egyszerűen tudják a felhasználó e-mail címét.
A felnőttorientált közösségi hálózatnak nagyon jelentős problémája volt a biztonsággal . Egy hackernek csak egy felhasználói e-mail címre volt szüksége egy fiók megnyitásához. Az e-mail betáplálása a szolgáltatás "Fiókjának megkeresése" oldalára - egy "Elfelejtettem a jelszavamat" űrlap megfelelője, felhozta a botellenőrző Captcha űrlapot, majd üzenetet mutatott, hogy jelszó-visszaállító e-mailt kapott küldött. A böngésző dev eszközeinek megnyitása - a Chrome-ban történő egyszerű billentyűleütés - előhozta a belső Grindr jelszó-visszaállító tokent, ott, az oldal kódjában.
A felhasználó e-mail címének és a jelszó-visszaállítási tokennel való kombinációja elegendő volt ahhoz, hogy a rossz szereplők hozzáférhessenek a szolgáltatás által küldött e-mailben összekapcsolt tényleges jelszóigényhez. Ettől kezdve a jelszó megváltoztatása és a fiók átvétele gyerekjáték.
Az újonnan létrehozott jelszóval bejelentkezve a feltört fiókba felugró ablak jelenik meg, amelyben a felhasználót meg kell erősíteni a bejelentkezés megerősítésével a mobilalkalmazáson keresztül. Ha úgy gondolja, hogy ez a telefonszámához kapcsolt kétfaktoros ellenőrzés, akkor nem. Troy Hunt biztonsági kutató, aki ezt a kis kísérletet fehér kalapos formában végezte el, és pár kollégája segítségével feltárta a sebezhetőséget, egyszerűen bejelentkezett a frissen elrablott fiókba saját mobiljáról, az újonnan megváltozott jelszó és az e-mail használatával. címet, és ennyi volt - a számla neki tetszése szerint köze volt.
Hunt valójában kijelentette, hogy a sebezhetőség a "legalapvetőbb számlaátvételi technikák" közé tartozik, amellyel valaha is találkozott munkája során. Szerencsére, miután néhány kezdeti akadály megkereste a Grindr képviselőit a Twitteren, és egy kis feltűnést keltett egy nyilvános tweeteléssel a sebezhetőségről, Huntnak sikerült kapcsolatba lépnie a platform biztonsági csapatával. A biztonsági rést azóta a Grindr fejlesztői kijavították.
A Grindr javítással lép be
A Grindr képviselői kijelentették, hogy a kérdést felfedezték és elhárították, mielőtt bármelyik rossz színész visszaélhetett volna. A közösségi platform továbbá bejelentette, hogy belátható időn belül új hibajavító fejvadász programot indít.
Ez az eset azt mutatja, hogy néha, bármennyire biztonságos is a jelszava, és bármennyire is fekteti be személyes kiberbiztonságába, néha információi és fiókjainak sorsa egyszerűen nem az Ön kezében van, és keveset tehet egy olyan támadási vektor ellen, amely hasonló a amelyet Grindr sebezhetőségével fedeztek fel.
Természetesen ez nem azt jelenti, hogy elhanyagolhatónak vagy gondatlannak kell lenned. Hasonló támadások esetén, amelyek semmilyen módon nem vonják be a felhasználót, a legjobb megoldás az, ha a platform kétfaktoros hitelesítését használja, és amint elérhetővé teszi, biztosítsa vele a fiókját, ha még nem az.