• IT-Karriere:
  • Services:

Sicherheitslücke: Grindr-Accounts hacken leicht gemacht

Die Passwort-Reset-Funktion der Datingplattform Grindr ließ sich mit einem einfachen Trick von jedem auslösen, Grindr reagierte zunächst nicht.

Artikel veröffentlicht am ,
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke.
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke. (Bild: Grindr)

Bei der Datingplattform Grindr gab es eine extrem gravierende Sicherheitslücke. Wie der IT-Sicherheitsspezialist Troy Hunt berichtet, konnte man den Reset-Token für die Funktion zum Wiederherstellen von Passwörtern einfach auslesen. Der Grindr-Support ignorierte zunächst den Versuch eines Sicherheitsforschers, das Problem zu melden. Grindr ist nach eigenen Angaben die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Personen.

Stellenmarkt
  1. über InterSearch Personalberatung GmbH & Co. KG, Raum Münster/Osnabrück
  2. Gemeindewerke Haßloch GmbH, Haßloch

Die Sicherheitslücke war einach auszunutzen. Wenn man einen Passwort-Reset angefordert hatte, wurde im Webbrowser eine HTTP-Anfrage ausgelöst, in deren Antwort sich der Passwort-Reset-Token befand. Den Reset-Token konnte man beispielsweise über die Developer-Tools auslesen. Damit konnte man sich eine URL zusammensetzen, mit der man das Passwort neu setzen könnte.

Passwort neu setzen für fremde Accounts

Sprich: Man konnte zu einer beliebigen Mailadresse, zu der ein Grindr-Account existiert, einen Reset-Token erzeugen und anschließend das Passwort neu setzen. Um sich einzuloggen, musste man noch eine Bestätigung über die Grindr-App durchführen, aber auch dort konnte man sich mit dem neu gesetzten Passwort einfach einloggen.

Entdeckt hatte das Problem der IT-Sicherheitsforscher Wassime Bouimadaghene. Dieser wandte sich an den Support von Grindr, dort sagte man ihm, dass man das Problem an die Entwickler weiterleiten würde. Danach passierte nichts, auf Rückfragen antwortete Grindr nicht.

Bouimadaghene wandte sich an Troy Hunt. Hunt wiederum versuchte selbst, Grindr zu erreichen und schickte der Firma auf Twitter Direktnachrichten. Er erhielt ebenfalls keine Antwort.

Erst nach Tweet kam Kontakt zustande

Anschließend schrieb Hunt einen öffentlichen Tweet, in dem er fragte, ob jemand Kontakt zum Sicherheitsteam bei Grindr habe. Erst daraufhin kam ein Kontakt zustande. Anschließend wurde das Problem relativ schnell behoben.

Berichte darüber, dass über diese Sicherheitslücke Accounts angegriffen wurden, gibt es bisher nicht. Betroffene könnten einen solchen Angriff auch bemerken, da sie eine Passwort-Reset-Mail erhalten würden und sich anschließend mit ihrem Passwort nicht mehr einloggen könnten. Personen, die Grindr nutzen und in jüngerer Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, sollten schnellstmöglich prüfen, ob ihr Passwort noch funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

ElMario 03. Okt 2020 / Themenstart

Einfach queere Denken ;D

Kommentieren


Folgen Sie uns
       


Die Evolution des Microsoft Flugsimulator (1982-2020)

Die Entwicklung des Flugsimulator zeigt die beeindruckenden Fortschritte der Spielegrafik in den letzten Jahrzehnten.

Die Evolution des Microsoft Flugsimulator (1982-2020) Video aufrufen
Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Watch SE im Test: Apples gelungene Smartwatch-Alternative
Watch SE im Test
Apples gelungene Smartwatch-Alternative

Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
Ein Test von Tobias Költzsch

  1. Apple WatchOS 7.0.3 behebt Reboot-Probleme der Apple Watch 3
  2. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
  3. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar

Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

    •  /