Sicherheitslücke: Grindr-Accounts hacken leicht gemacht

Die Passwort-Reset-Funktion der Datingplattform Grindr ließ sich mit einem einfachen Trick von jedem auslösen, Grindr reagierte zunächst nicht.

Artikel veröffentlicht am ,
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke.
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke. (Bild: Grindr)

Bei der Datingplattform Grindr gab es eine extrem gravierende Sicherheitslücke. Wie der IT-Sicherheitsspezialist Troy Hunt berichtet, konnte man den Reset-Token für die Funktion zum Wiederherstellen von Passwörtern einfach auslesen. Der Grindr-Support ignorierte zunächst den Versuch eines Sicherheitsforschers, das Problem zu melden. Grindr ist nach eigenen Angaben die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Personen.

Die Sicherheitslücke war einach auszunutzen. Wenn man einen Passwort-Reset angefordert hatte, wurde im Webbrowser eine HTTP-Anfrage ausgelöst, in deren Antwort sich der Passwort-Reset-Token befand. Den Reset-Token konnte man beispielsweise über die Developer-Tools auslesen. Damit konnte man sich eine URL zusammensetzen, mit der man das Passwort neu setzen könnte.

Passwort neu setzen für fremde Accounts

Sprich: Man konnte zu einer beliebigen Mailadresse, zu der ein Grindr-Account existiert, einen Reset-Token erzeugen und anschließend das Passwort neu setzen. Um sich einzuloggen, musste man noch eine Bestätigung über die Grindr-App durchführen, aber auch dort konnte man sich mit dem neu gesetzten Passwort einfach einloggen.

Entdeckt hatte das Problem der IT-Sicherheitsforscher Wassime Bouimadaghene. Dieser wandte sich an den Support von Grindr, dort sagte man ihm, dass man das Problem an die Entwickler weiterleiten würde. Danach passierte nichts, auf Rückfragen antwortete Grindr nicht.

Bouimadaghene wandte sich an Troy Hunt. Hunt wiederum versuchte selbst, Grindr zu erreichen und schickte der Firma auf Twitter Direktnachrichten. Er erhielt ebenfalls keine Antwort.

Erst nach Tweet kam Kontakt zustande

Anschließend schrieb Hunt einen öffentlichen Tweet, in dem er fragte, ob jemand Kontakt zum Sicherheitsteam bei Grindr habe. Erst daraufhin kam ein Kontakt zustande. Anschließend wurde das Problem relativ schnell behoben.

Berichte darüber, dass über diese Sicherheitslücke Accounts angegriffen wurden, gibt es bisher nicht. Betroffene könnten einen solchen Angriff auch bemerken, da sie eine Passwort-Reset-Mail erhalten würden und sich anschließend mit ihrem Passwort nicht mehr einloggen könnten. Personen, die Grindr nutzen und in jüngerer Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, sollten schnellstmöglich prüfen, ob ihr Passwort noch funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen

Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
Eine Analyse von Ingo Pakalski

Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
Artikel
  1. 49-Euro-Ticket: Stendal könnte doch zum Deutschlandticket zurückkehren
    49-Euro-Ticket
    Stendal könnte doch zum Deutschlandticket zurückkehren

    Während weitere Landkreise ebenfalls über ein Aus für das Deutschlandticket nachdenken, gibt es für Stendal einen möglichen Ausweg.

  2. Aufkauf der Restaktien: Silver Lake will die Software AG vollends übernehmen
    Aufkauf der Restaktien
    Silver Lake will die Software AG vollends übernehmen

    Das Angebot des Investors für die restlichen Anteile liegt vor. Die Software AG trennt sich derweil von zwei Produkten.

  3. (Extra)terrestrische Sprache: Was uns Wale über die Kommunikation mit Aliens verraten
    (Extra)terrestrische Sprache
    Was uns Wale über die Kommunikation mit Aliens verraten

    Ein Forschungsteam konnte 20 Minuten lang mit einem Buckelwal kommunizieren. Die Art der Kontaktaufnahme könnte bei der Suche nach außerirdischem Leben im Weltall helfen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /