Grindr漏洞允許黑客重置帳戶密碼並接管帳戶

2020年9月發現了一個嚴重的Grindr漏洞。該安全問題允許不良行為者僅知道用戶的電子郵件地址,就可以接管用戶的Grind帳戶。

面向成年人的社交網絡在安全性方面存在非常重要的問題。黑客只需要用戶電子郵件地址即可打開帳戶。將電子郵件輸入該服務的“查找您的帳戶”頁面-等效於“我忘記了密碼”表格,顯示了自動檢查Captcha表格,然後顯示一條消息,提示您已重置密碼已發送。但是,打開瀏覽器的開發工具(Chrome中的一個簡單按鍵),就在頁面的代碼中顯示了內部Grindr密碼重置令牌。

將用戶的電子郵件地址與密碼重置令牌結合在一起,足以使不良行為者能夠訪問由服務發送的電子郵件中鏈接的實際密碼請求。從那時起,更改密碼並接管帳戶就成了孩子們的遊戲。

使用新創建的密碼登錄被黑客入侵的帳戶會彈出一個彈出窗口,告訴用戶通過移動應用程序確認登錄。如果您認為這是與您的電話號碼相關聯的兩因素驗證,則不是。安全研究員特洛伊·亨特(Troy Hunt)以白帽的方式進行了這個小實驗,並在幾個同事的幫助下揭露了該漏洞,他使用新更改的密碼和電子郵件從自己的手機上登錄了剛被劫持的帳戶。地址,就是這樣-帳戶是他喜歡的事。

亨特實際上表示,該漏洞是他多年來工作中遇到的“最基本的帳戶接管技術”。值得慶幸的是,經過一些初步的障礙與Twitter上的Grindr代表聯繫,並在有關該漏洞的公開推文中引起了一些轟動,Hunt設法與該平台的安全團隊取得了聯繫。此漏洞已由Grindr的開發人員修復。

Grindr修復問題

Grindr的代表說,在任何不良行為者能夠濫用該問題之前,就已發現並修補了該問題。該社交平台還宣布了在可預見的將來啟動新的漏洞狩獵賞金計劃的計劃。

此事件表明,有時,無論密碼的安全性如何,以及個人網絡安全的投入有多高,有時信息和帳戶的命運就不在您的掌握之中,並且您幾乎無法採取類似於一個發現了Grindr漏洞的人。

當然,這並不意味著您應該被忽略或粗心。在完全不涉及用戶的類似攻擊中,最好的選擇是使用平台的雙重身份驗證,並在平台可用時盡快保護您的帳戶(如果尚不可用)。

October 6, 2020

發表評論