Grindr漏洞允许黑客重置帐户密码并接管帐户

2020年9月发现了一个严重的Grindr漏洞。该安全问题允许不良行为者仅知道用户的电子邮件地址,就可以接管用户的Grind帐户。

面向成年人的社交网络在安全性方面存在非常重要的问题。黑客只需要用户电子邮件地址即可打开帐户。将电子邮件输入该服务的“查找您的帐户”页面-等效于“我忘记了密码”表格,显示了一个自动检查验证码表格,然后显示一条消息,提示您已重置密码已发送。但是,打开浏览器的开发工具(Chrome中的一个简单按键),就在页面的代码中显示了内部Grindr密码重置令牌。

将用户的电子邮件地址与密码重置令牌结合在一起,足以使不良行为者能够访问由服务发送的电子邮件中链接的实际密码请求。从那时起,更改密码并接管帐户就成了孩子们的游戏。

使用新创建的密码登录被黑客入侵的帐户会弹出一个弹出窗口,告诉用户通过移动应用程序确认登录。如果您认为这是与您的电话号码相关联的两因素验证,则不是。安全研究员特洛伊·亨特(Troy Hunt)以白帽的方式进行了这个小实验,并在几个同事的帮助下揭露了该漏洞,他使用新更改的密码和电子邮件从自己的手机上登录了刚被劫持的帐户。地址,就是这样-帐户是他喜欢的事。

亨特实际上表示,该漏洞是他多年来工作中遇到的“最基本的帐户接管技术”。值得庆幸的是,经过一些初步的障碍与Twitter上的Grindr代表联系并在有关该漏洞的公开推特上引起了一些轰动,Hunt设法与该平台的安全团队取得了联系。此漏洞已由Grindr的开发人员修复。

Grindr修复问题

Grindr的代表说,在任何不良行为者能够滥用该问题之前,就已发现并修补了该问题。该社交平台还宣布了在可预见的将来启动新的漏洞狩猎赏金计划的计划。

此事件表明,有时,无论密码的安全性如何,以及个人网络安全的投入有多高,有时信息和帐户的命运就不在您的掌握之中,并且您几乎无法采取类似于一个发现了Grindr漏洞的人。

当然,这并不意味着您应该被忽略或粗心。在不以任何方式涉及用户的类似攻击中,最好的选择是使用平台的双重身份验证,并在平台可用时尽快保护您的帐户(如果尚未使用)。

October 6, 2020

发表评论