Luka w zabezpieczeniach Grindr umożliwiła hakerom resetowanie haseł kont i przejmowanie kont

Znacząca luka w zabezpieczeniach Grindr została odkryta we wrześniu 2020 r. Problem z bezpieczeństwem pozwalał złym osobom przejąć konto Grind użytkownika, jeśli po prostu znali adres e-mail użytkownika.

Sieć społecznościowa zorientowana na dorosłych miała bardzo istotny problem z bezpieczeństwem . Haker potrzebował adresu e-mail użytkownika tylko do złamania konta. Wprowadzenie wiadomości e-mail na stronę „Znajdź swoje konto” usługi - odpowiednik formularza „Nie pamiętam hasła”, wywołanie formularza Captcha sprawdzania bota, a następnie wyświetlenie komunikatu, że wiadomość e-mail dotycząca resetowania hasła została wysłana wysłane. Jednak otwarcie narzędzi programistycznych przeglądarki, proste naciśnięcie klawisza w Chrome, spowodowało wyświetlenie wewnętrznego tokena resetowania hasła Grindr, właśnie tam, w kodzie strony.

Posiadanie adresu e-mail użytkownika w połączeniu z tokenem resetowania hasła wystarczyło, aby dać złym aktorom dostęp do rzeczywistego żądania hasła, które jest powiązane w wiadomości e-mail wysłanej przez usługę. Od tego momentu zmiana hasła i przejęcie konta jest dziecinnie proste.

Po zalogowaniu się na zhakowane konto za pomocą nowo utworzonego hasła pojawiło się wyskakujące okienko z prośbą o potwierdzenie logowania za pośrednictwem aplikacji mobilnej. Jeśli uważasz, że jest to weryfikacja dwuskładnikowa powiązana z Twoim numerem telefonu, tak nie jest. Badacz bezpieczeństwa Troy Hunt, który przeprowadził ten mały eksperyment w stylu białego kapelusza i ujawnił lukę z pomocą kilku swoich kolegów, po prostu zalogował się na świeżo przejęte konto z własnego telefonu komórkowego, używając nowo zmienionego hasła i adresu e-mail adres i to było to - konto należało do niego, jak mu się podoba.

Hunt faktycznie stwierdził, że luka w zabezpieczeniach była jedną z „najbardziej podstawowych technik przejmowania kont”, z jakimi się zetknął podczas swojej wieloletniej pracy. Na szczęście, po kilku początkowych przeszkodach w skontaktowaniu się z przedstawicielami Grindr na Twitterze i wywołaniu zamieszania publicznym tweetem na temat luki w zabezpieczeniach, Huntowi udało się skontaktować z zespołem ds. Bezpieczeństwa platformy. Luka została już naprawiona przez programistów Grindr.

Grindr wkracza z poprawką

Przedstawiciele Grindr stwierdzili, że problem został wykryty i załatany, zanim jakikolwiek zły aktor był w stanie go wykorzystać. Platforma społecznościowa ogłosiła również plany uruchomienia nowego programu nagród za polowanie na błędy w dającej się przewidzieć przyszłości.

Ten incydent pokazuje, że czasami, bez względu na to, jak bezpieczne jest Twoje hasło i bez względu na to, jak zainwestowałeś w swoje osobiste cyberbezpieczeństwo, czasami los twoich informacji i kont po prostu nie leży w twoich rękach i możesz niewiele zrobić z wektorem ataku podobnym do ten odkryty z luką Grindra.

Oczywiście nie oznacza to, że powinieneś być zaniedbany lub nieostrożny. W podobnych atakach, które w żaden sposób nie angażują użytkownika, najlepiej jest skorzystać z uwierzytelniania dwuskładnikowego platformy i zabezpieczyć swoje konto, gdy tylko stanie się dostępne, jeśli jeszcze nie jest.

October 6, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.