newsroom
Ένα ελάττωμα στην ασφαλεία του Grindr σήμαινε ότι οι λογαριασμοί θα μπορούσαν εύκολα να αναληφθούν από χάκερ με τίποτα περισσότερο από μια διεύθυνση email.
Το ελάττωμα αυτό της Grindr αποκαλύφθηκε από τον Γάλλο ερευνητή ασφαλείας Wassime Bouimadaghene και στη συνέχεια τεκμηριώθηκε από τους Troy Hunt και Scott Helme, και οι δύο εμπειρογνώμονες ασφαλείας.
Στην έρευνά του, ο Bouimadaghene ανακάλυψε ότι ένα αδύναμο σημείο στον ιστότοπο του Grindr επέτρεψε σε πιθανούς χάκερ να κλέψουν έναν λογαριασμό χρήστη ζητώντας επαναφορά κωδικού πρόσβασης.
Το ελάττωμα ασφαλείας σήμαινε ότι, εάν ένας εισβολέας αποκτήσει την καταχωρισμένη διεύθυνση email ενός χρήστη, θα μπορούσε να ζητήσει επαναφορά κωδικού πρόσβασης. Αυτό θα έστελνε ένα αυτόματο μήνυμα ηλεκτρονικού ταχυδρομείου στο χρήστη με ένα URL για να επαναφέρει τον κωδικό πρόσβασής του – ωστόσο, η Bouimadaghene ανακάλυψε ότι η ίδια διεύθυνση URL θα μπορούσε να βρεθεί στον κώδικα του ιστότοπου.
Το αποτέλεσμα, είπε ο ερευνητής, ήταν ότι οι χάκερ μπορούσαν να κλέψουν τους λογαριασμούς χρηστών του Grindr και να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα και συχνά εξαιρετικά ευαίσθητων πληροφοριών, όπως φωτογραφίες, μηνύματα και άλλα.
Ο Bouimadaghene πήγε στην Grindr προσωπικά για να τους ειδοποιήσει για το ελάττωμα ασφαλείας, αλλά είπε ότι δεν έλαβε καμία απάντηση από την εταιρεία.
Αυτό τον ώθησε να επικοινωνήσει με τον Troy Hunt, τον δημιουργό του Have I Been Pwned, έναν ιστότοπο που επιτρέπει στους ανθρώπους να μάθουν εάν έχει παραβιαστεί η διεύθυνση ηλεκτρονικού ταχυδρομείου ή ο κωδικός τους.
Ο Troy Hunt διερεύνησε την παράβαση ζητώντας από τον ερευνητή ασφαλείας Scott Helme να εγγραφεί σε λογαριασμό Grindr.
Όπως πρότεινε η έρευνα του Bouimadaghene, ο Hunt μπόρεσε να παραβιάσει τον λογαριασμό του Helme και στη συνέχεια μπόρεσε να συνδεθεί μέσω της εφαρμογής.
Ο αντίκτυπος του Grindr hack είναι «προφανώς σημαντικός» .
Γράφοντας στον ιστότοπό του, ο Hunt είπε: «Αυτή είναι μια από τις πιο βασικές τεχνικές ανάληψης λογαριασμού που έχω δει… Η ευκολία της εκμετάλλευσης είναι απίστευτα χαμηλή και ο αντίκτυπος είναι προφανώς σημαντικός, οπότε σαφώς αυτό είναι κάτι που πρέπει να ληφθεί σοβαρά υπόψη» .
Ο Hunt επιβεβαίωσε επίσης ότι ο Bouimadaghene μοιράστηκε τα ευρήματα της έρευνάς του με την Grindr στις 24 Σεπτεμβρίου. Ένας εκπρόσωπος υποστήριξης της εταιρείας του είπε ότι το ζήτημα είχε «κλιμακωθεί» μεταξύ των προγραμματιστών και συνέχισε να επισημαίνει ότι το ζήτημα ήταν «επιλυμένο» .
Όπως ο Bouimadaghene, ο Hunt αντιμετώπισε διάφορες δυσκολίες στην αναφορά του ζητήματος στη Grindr – αλλά μετά από πολλή δουλειά, η αναφορά του πέρασε τελικά στην ομάδα ασφαλείας και το ελάττωμα επιλύθηκε γρήγορα.
Ο διευθύνων σύμβουλος της Grindr, Rick Marini, δήλωσε στην Tech Crunch: «Είμαστε ευγνώμονες για τον ερευνητή που εντόπισε μια ευπάθεια. Το πρόβλημα που αναφέρθηκε διορθώθηκε. Ευτυχώς, πιστεύουμε ότι αντιμετωπίσαμε το ζήτημα πριν το εκμεταλλευτούν κακόβουλα μέρη.
«Ως μέρος της δέσμευσής μας για βελτίωση της ασφάλειας και της ασφάλειας της υπηρεσίας μας, συνεργαζόμαστε με μια κορυφαία εταιρεία ασφάλειας για την απλούστευση και τη βελτίωση της ικανότητας των ερευνητών ασφάλειας να αναφέρουν ζητήματα όπως αυτά» .
Το 2018, η εφαρμογή γνωριμιών αντιμετώπισε δημόσια αντίδραση, όταν αποκαλύφθηκε ότι μοιράστηκε την κατάσταση HIV των χρηστών της με εξωτερικές εταιρείες.
Η Grindr βρέθηκε να μοιράζεται τις πληροφορίες με δύο ιδιωτικές εταιρείες που «βελτιστοποιούν» εφαρμογές.
