„Grindr“ pažeidžiamumas leido įsilaužėliams iš naujo nustatyti paskyrų slaptažodžius ir perimti sąskaitas
Svarbus „Grindr“ pažeidžiamumas buvo aptiktas 2020 m. Rugsėjo mėn. Saugos problema leido blogiems dalyviams perimti vartotojo „Grind“ paskyrą, jei jie tiesiog žinojo vartotojo el. Pašto adresą.
Į suaugusiuosius orientuotas socialinis tinklas turėjo labai didelę saugumo problemą . Hakeriui prireikė tik vartotojo el. Pašto adreso, kad būtų galima atidaryti sąskaitą. El. Laiškų tiekimas į paslaugos puslapį „Raskite savo sąskaitą“ - formos „Aš pamiršau slaptažodį“ atitikmuo, iškėlė „bot check“ „Captcha“ formą, tada parodė pranešimą, kad buvo iš naujo nustatytas slaptažodis išsiųstas. Tačiau atidarius naršyklės kūrimo įrankius, paprastą klavišą „Chrome“ paspaudus, puslapio kode atsirado vidinis „Grindr“ slaptažodžio nustatymo žetonas.
Pakako turėti vartotojo el. Pašto adresą kartu su slaptažodžio nustatymo žetonu, kad blogi aktoriai galėtų pasiekti faktinę slaptažodžio užklausą, susietą su tarnybos atsiųstu el. Laišku. Nuo šiol slaptažodžio keitimas ir paskyros perėmimas yra vaikų žaidimas.
Prisijungus prie įsilaužtos paskyros naudojant naujai sukurtą slaptažodį atsirado iškylantysis langas, nurodantis vartotojui patvirtinti prisijungimą per mobiliąją programą. Jei manote, kad tai yra dviejų veiksnių patvirtinimas, susietas su jūsų telefono numeriu, tai nėra. Saugumo tyrėjas Troy'as Huntas, atlikęs šį nedidelį baltų kepurių eksperimentą ir atskleidęs pažeidžiamumą padedamas poros kolegų, tiesiog prisijungė prie ką tik pagrobtos paskyros iš savo mobiliojo telefono, naudodamas naujai pakeistą slaptažodį ir el. Paštą. adresas ir tiek - viskas buvo su jo sąskaita, kaip jam patiko.
Huntas iš tikrųjų teigė, kad pažeidžiamumas buvo vienas iš „pagrindinių sąskaitų perėmimo būdų“, su kuriuo jis susidūrė per savo darbo metus. Laimei, po tam tikrų pradinių kliūčių susisiekus su „Grindr“ atstovais „Twitter“ tinkle ir sukėlus šiokį tokį ažiotažą viešu tweetu apie pažeidžiamumą, Huntui pavyko susisiekti su platformos saugos komanda. Nuo to laiko „Grindr“ kūrėjai pašalino pažeidžiamumą.
„Grindr“ žingsniai su taisymu
„Grindr“ atstovai pareiškė, kad problema buvo atrasta ir užtaisyta, kol blogi aktoriai negalėjo ja piktnaudžiauti. Socialinė platforma toliau paskelbė apie savo planus artimiausioje ateityje pradėti naują klaidų ieškojimo premijų programą.
Šis įvykis rodo, kad kartais, nesvarbu, koks jūsų slaptažodis yra saugus ir kad ir kiek investuojate į savo asmeninį kibernetinį saugumą, kartais jūsų informacijos ir sąskaitų likimas paprasčiausiai nėra jūsų rankose ir jūs galite padaryti mažai ką naudodami atakos vektorių, panašų į tas, kurį atrado su „Grindr“ pažeidžiamumu.
Žinoma, tai nereiškia, kad turėtumėte būti aplaidus ar neatsargus. Panašių atakų metu, kuriose vartotojas niekaip neįtraukiamas, geriausia naudoti dviejų veiksnių platformos autentifikavimą ir apsaugoti savo sąskaitą, kai tik ji bus prieinama, jei dar nėra.