Sicherheitslücke: Grindr-Accounts hacken leicht gemacht

Die Passwort-Reset-Funktion der Datingplattform Grindr ließ sich mit einem einfachen Trick von jedem auslösen, Grindr reagierte zunächst nicht.

Artikel veröffentlicht am ,
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke.
Bei Grindr ignorierte der Support zunächst eine schwere Sicherheitslücke. (Bild: Grindr)

Bei der Datingplattform Grindr gab es eine extrem gravierende Sicherheitslücke. Wie der IT-Sicherheitsspezialist Troy Hunt berichtet, konnte man den Reset-Token für die Funktion zum Wiederherstellen von Passwörtern einfach auslesen. Der Grindr-Support ignorierte zunächst den Versuch eines Sicherheitsforschers, das Problem zu melden. Grindr ist nach eigenen Angaben die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Personen.

Stellenmarkt
  1. Entwickler (m/w/d) für den Bereich SAP Business Warehouse
    HEK - Hanseatische Krankenkasse, Hamburg
  2. Projektmanager (m/w/d) Logistik eCommerce
    Lidl Digital, Neckarsulm
Detailsuche

Die Sicherheitslücke war einach auszunutzen. Wenn man einen Passwort-Reset angefordert hatte, wurde im Webbrowser eine HTTP-Anfrage ausgelöst, in deren Antwort sich der Passwort-Reset-Token befand. Den Reset-Token konnte man beispielsweise über die Developer-Tools auslesen. Damit konnte man sich eine URL zusammensetzen, mit der man das Passwort neu setzen könnte.

Passwort neu setzen für fremde Accounts

Sprich: Man konnte zu einer beliebigen Mailadresse, zu der ein Grindr-Account existiert, einen Reset-Token erzeugen und anschließend das Passwort neu setzen. Um sich einzuloggen, musste man noch eine Bestätigung über die Grindr-App durchführen, aber auch dort konnte man sich mit dem neu gesetzten Passwort einfach einloggen.

Entdeckt hatte das Problem der IT-Sicherheitsforscher Wassime Bouimadaghene. Dieser wandte sich an den Support von Grindr, dort sagte man ihm, dass man das Problem an die Entwickler weiterleiten würde. Danach passierte nichts, auf Rückfragen antwortete Grindr nicht.

Golem Karrierewelt
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Bouimadaghene wandte sich an Troy Hunt. Hunt wiederum versuchte selbst, Grindr zu erreichen und schickte der Firma auf Twitter Direktnachrichten. Er erhielt ebenfalls keine Antwort.

Erst nach Tweet kam Kontakt zustande

Anschließend schrieb Hunt einen öffentlichen Tweet, in dem er fragte, ob jemand Kontakt zum Sicherheitsteam bei Grindr habe. Erst daraufhin kam ein Kontakt zustande. Anschließend wurde das Problem relativ schnell behoben.

Berichte darüber, dass über diese Sicherheitslücke Accounts angegriffen wurden, gibt es bisher nicht. Betroffene könnten einen solchen Angriff auch bemerken, da sie eine Passwort-Reset-Mail erhalten würden und sich anschließend mit ihrem Passwort nicht mehr einloggen könnten. Personen, die Grindr nutzen und in jüngerer Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, sollten schnellstmöglich prüfen, ob ihr Passwort noch funktioniert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. 1.000 kWh: Elektrischer Autotransporter von Designwerk und Kässbohrer
    1.000 kWh
    Elektrischer Autotransporter von Designwerk und Kässbohrer

    Designwerk liefert in Kooperation mit Kässbohrer ab 2023 einen Autotransporter mit Elektroantrieb für den internationalen Markt aus.

  2. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  3. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /