Door de kwetsbaarheid van Grindr konden hackers de wachtwoorden van accounts resetten en accounts overnemen

In september 2020 werd een belangrijke kwetsbaarheid in Grindr ontdekt. Door het beveiligingsprobleem konden slechte actoren het Grind-account van een gebruiker overnemen als ze simpelweg het e-mailadres van de gebruiker kenden.

Het op volwassenen gerichte sociale netwerk had een zeer belangrijk beveiligingsprobleem . Een hacker had alleen een e-mailadres van een gebruiker nodig om een account te kraken. Het invoeren van de e-mail op de "Vind uw account" -pagina van de service - het equivalent van een "Ik ben mijn wachtwoord vergeten" -formulier, bracht een botcheck Captcha-formulier tevoorschijn en toonde vervolgens een bericht dat een e-mail voor het opnieuw instellen van het wachtwoord was ontvangen verzonden. Het openen van de dev-tools van de browser, een simpele druk op een toets in Chrome, bracht echter het interne Grindr-wachtwoordhersteltoken naar voren, daar, in de code van de pagina.

Het hebben van het e-mailadres van de gebruiker gecombineerd met het token voor het opnieuw instellen van het wachtwoord was voldoende om slechte actoren toegang te geven tot het daadwerkelijke wachtwoordverzoek dat is gekoppeld in de e-mail die door de service is verzonden. Vanaf dit punt is het wijzigen van het wachtwoord en het overnemen van het account kinderspel.

Door in te loggen op het gehackte account met het nieuw aangemaakte wachtwoord, werd een pop-up weergegeven waarin de gebruiker werd gevraagd de aanmelding via de mobiele app te bevestigen. Als u denkt dat dit tweefactorauthenticatie is die aan uw telefoonnummer is gekoppeld, is dat niet het geval. Beveiligingsonderzoeker Troy Hunt, die dit kleine experiment in white hat-mode uitvoerde en de kwetsbaarheid blootlegde met de hulp van een paar collega's, logde eenvoudigweg in op het pas gekaapte account vanaf zijn eigen mobiel, met behulp van het pas gewijzigde wachtwoord en de e-mail adres en dat was het - het account was van hem om te doen wat hij wilde.

Hunt verklaarde zelfs dat de kwetsbaarheid een van de "meest elementaire technieken voor het overnemen van accounts" was die hij ooit in zijn jarenlange werk was tegengekomen. Gelukkig, na een aantal eerste hindernissen om contact op te nemen met Grindr-vertegenwoordigers op Twitter en wat opschudding te hebben veroorzaakt met een openbare tweet over de kwetsbaarheid, slaagde Hunt erin om contact op te nemen met het beveiligingsteam van het platform. De kwetsbaarheid is sindsdien verholpen door de ontwikkelaars van Grindr.

Grindr komt binnen met een oplossing

Vertegenwoordigers van Grindr verklaarden dat het probleem werd ontdekt en verholpen voordat slechte acteurs het konden misbruiken. Het sociale platform kondigde verder zijn plannen aan om in de nabije toekomst een nieuw premieprogramma voor het jagen op bugs te lanceren.

Dit incident toont aan dat soms, hoe veilig uw wachtwoord ook is en hoe geïnvesteerd u ook bent in uw persoonlijke cyberveiligheid, het lot van uw informatie en accounts soms gewoon niet in uw handen ligt en u weinig kunt doen aan een aanvalsvector die lijkt op degene ontdekt met de kwetsbaarheid van Grindr.

Dit betekent natuurlijk niet dat u nalatig of onzorgvuldig moet zijn. Bij soortgelijke aanvallen waarbij de gebruiker op geen enkele manier betrokken is, kunt u het beste de tweefactorauthenticatie van een platform gebruiken en uw account ermee beveiligen zodra deze beschikbaar komt, als dit nog niet het geval is.