Sicherheitslücke: Grindr-Accounts hacken leicht gemacht

Die Passwort-Reset-Funktion der Datingplattform Grindr ließ sich mit einem einfachen Trick von jedem auslösen, Grindr reagierte zunächst nicht.

Artikel veröffentlicht am ,
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke.
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke. (Bild: Grindr)

Bei der Datingplattform Grindr gab es eine extrem gravierende Sicherheitslücke. Wie der IT-Sicherheitsspezialist Troy Hunt berichtet, konnte man den Reset-Token für die Funktion zum Wiederherstellen von Passwörtern einfach auslesen. Der Grindr-Support ignorierte zunächst den Versuch eines Sicherheitsforschers, das Problem zu melden. Grindr ist nach eigenen Angaben die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Personen.

Stellenmarkt
  1. Softwareentwickler C# / .NET (m/w/d)
    IS Software GmbH, Regensburg
  2. Assistenz IT-Leitung (m/w/d)
    NOWEDA eG Apothekergenossenschaft, Essen
Detailsuche

Die Sicherheitslücke war einach auszunutzen. Wenn man einen Passwort-Reset angefordert hatte, wurde im Webbrowser eine HTTP-Anfrage ausgelöst, in deren Antwort sich der Passwort-Reset-Token befand. Den Reset-Token konnte man beispielsweise über die Developer-Tools auslesen. Damit konnte man sich eine URL zusammensetzen, mit der man das Passwort neu setzen könnte.

Passwort neu setzen für fremde Accounts

Sprich: Man konnte zu einer beliebigen Mailadresse, zu der ein Grindr-Account existiert, einen Reset-Token erzeugen und anschließend das Passwort neu setzen. Um sich einzuloggen, musste man noch eine Bestätigung über die Grindr-App durchführen, aber auch dort konnte man sich mit dem neu gesetzten Passwort einfach einloggen.

Entdeckt hatte das Problem der IT-Sicherheitsforscher Wassime Bouimadaghene. Dieser wandte sich an den Support von Grindr, dort sagte man ihm, dass man das Problem an die Entwickler weiterleiten würde. Danach passierte nichts, auf Rückfragen antwortete Grindr nicht.

Golem Akademie
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    16.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Bouimadaghene wandte sich an Troy Hunt. Hunt wiederum versuchte selbst, Grindr zu erreichen und schickte der Firma auf Twitter Direktnachrichten. Er erhielt ebenfalls keine Antwort.

Erst nach Tweet kam Kontakt zustande

Anschließend schrieb Hunt einen öffentlichen Tweet, in dem er fragte, ob jemand Kontakt zum Sicherheitsteam bei Grindr habe. Erst daraufhin kam ein Kontakt zustande. Anschließend wurde das Problem relativ schnell behoben.

Berichte darüber, dass über diese Sicherheitslücke Accounts angegriffen wurden, gibt es bisher nicht. Betroffene könnten einen solchen Angriff auch bemerken, da sie eine Passwort-Reset-Mail erhalten würden und sich anschließend mit ihrem Passwort nicht mehr einloggen könnten. Personen, die Grindr nutzen und in jüngerer Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, sollten schnellstmöglich prüfen, ob ihr Passwort noch funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halo Infinite im Test
Master Chief gefangen zwischen Waffe und Welt

Eine doofe Nebenfigur, sinnlose offene Umgebungen: Vor allem das tolle Kampfsystem rettet die Kampagne von Halo Infinite.
Ein Test von Peter Steinlechner

Halo Infinite im Test: Master Chief gefangen zwischen Waffe und Welt
Artikel
  1. Raspbian Legacy: Weiteres Raspberry Pi OS kommt für ältere Bastelrechner
    Raspbian Legacy
    Weiteres Raspberry Pi OS kommt für ältere Bastelrechner

    Neben dem neuen Raspberry Pi OS wird es künftig eine zweite Version geben. Die unterstützt mit Oldstable-Debian die älteren Raspberry Pis.

  2. Kanadische Polizei: Diebe nutzen Apples Airtags zum Tracking von Luxuswagen
    Kanadische Polizei
    Diebe nutzen Apples Airtags zum Tracking von Luxuswagen

    Autodiebe in Kanada nutzen offenbar Apples Airtags, um Fahrzeuge heimlich zu orten.

  3. Resident Evil (1996): Grauenhaft gut
    Resident Evil (1996)
    Grauenhaft gut

    Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /