• IT-Karriere:
  • Services:

Sicherheitslücke: Grindr-Accounts hacken leicht gemacht

Die Passwort-Reset-Funktion der Datingplattform Grindr ließ sich mit einem einfachen Trick von jedem auslösen, Grindr reagierte zunächst nicht.

Artikel veröffentlicht am ,
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke.
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke. (Bild: Grindr)

Bei der Datingplattform Grindr gab es eine extrem gravierende Sicherheitslücke. Wie der IT-Sicherheitsspezialist Troy Hunt berichtet, konnte man den Reset-Token für die Funktion zum Wiederherstellen von Passwörtern einfach auslesen. Der Grindr-Support ignorierte zunächst den Versuch eines Sicherheitsforschers, das Problem zu melden. Grindr ist nach eigenen Angaben die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Personen.

Stellenmarkt
  1. Haufe Group, Hannover, Freiburg
  2. mahl gebhard konzepte Landschaftsarchitekten BDLA Stadtplaner Partnerschaftsgesellschaft mbB, München

Die Sicherheitslücke war einach auszunutzen. Wenn man einen Passwort-Reset angefordert hatte, wurde im Webbrowser eine HTTP-Anfrage ausgelöst, in deren Antwort sich der Passwort-Reset-Token befand. Den Reset-Token konnte man beispielsweise über die Developer-Tools auslesen. Damit konnte man sich eine URL zusammensetzen, mit der man das Passwort neu setzen könnte.

Passwort neu setzen für fremde Accounts

Sprich: Man konnte zu einer beliebigen Mailadresse, zu der ein Grindr-Account existiert, einen Reset-Token erzeugen und anschließend das Passwort neu setzen. Um sich einzuloggen, musste man noch eine Bestätigung über die Grindr-App durchführen, aber auch dort konnte man sich mit dem neu gesetzten Passwort einfach einloggen.

Entdeckt hatte das Problem der IT-Sicherheitsforscher Wassime Bouimadaghene. Dieser wandte sich an den Support von Grindr, dort sagte man ihm, dass man das Problem an die Entwickler weiterleiten würde. Danach passierte nichts, auf Rückfragen antwortete Grindr nicht.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Bouimadaghene wandte sich an Troy Hunt. Hunt wiederum versuchte selbst, Grindr zu erreichen und schickte der Firma auf Twitter Direktnachrichten. Er erhielt ebenfalls keine Antwort.

Erst nach Tweet kam Kontakt zustande

Anschließend schrieb Hunt einen öffentlichen Tweet, in dem er fragte, ob jemand Kontakt zum Sicherheitsteam bei Grindr habe. Erst daraufhin kam ein Kontakt zustande. Anschließend wurde das Problem relativ schnell behoben.

Berichte darüber, dass über diese Sicherheitslücke Accounts angegriffen wurden, gibt es bisher nicht. Betroffene könnten einen solchen Angriff auch bemerken, da sie eine Passwort-Reset-Mail erhalten würden und sich anschließend mit ihrem Passwort nicht mehr einloggen könnten. Personen, die Grindr nutzen und in jüngerer Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, sollten schnellstmöglich prüfen, ob ihr Passwort noch funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Planet Zoo - Deluxe Edition für 19,49€, SnowRunner - Epic Games Store Key für 26,99€)
  2. (u. a. LG OLED77CX6LA 77 Zoll OLED für 2.899€, LG 43UP75009LF 43 Zoll LCD für 399€)
  3. (u. a. Mad Games Tycoon für 6,50€, Transport Fever 2 für 21€, Shadow Tactics: Blades of the...
  4. 759€ (Bestpreis)

ElMario 03. Okt 2020

Einfach queere Denken ;D


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /