Grindr-accounts door ernstige kwetsbaarheid eenvoudig over te nemen
Een ernstige kwetsbaarheid in dating-app Grindr maakte het mogelijk om accounts van willekeurige gebruikers op eenvoudige wijze over te nemen. De enige vereiste was dat een aanvaller het e-mailadres van zijn slachtoffer moest kennen. Het beveiligingslek was aanwezig in de pagina waar gebruikers hun wachtwoord kunnen resetten.
Op deze pagina moeten Grindr-gebruikers hun e-mailadres invoeren, waarna er een e-mail wordt verstuurd die een link bevat voor de wachtwoordreset. Deze link bestaat uit een resettoken en het e-mailadres van de gebruiker. De resetpagina bleek na het versturen van de wachtwoordresetmail echter ook het resettoken te bevatten. Deze code kon in combinatie met het e-mailadres van de gebruiker worden gebruikt om de daadwerkelijke wachtwoordreset uit te voeren, zonder dat de aanvaller over de door Grindr verstuurde e-mail hoefde te beschikken.
Na het uitvoeren van de wachtwoordreset moest een aanvaller via de Grindr-app inloggen, maar had daarna volledige toegang tot het account, zoals verstuurde berichten, foto's en HIV-status van de gebruiker. De onderzoeker die de kwetsbaarheid ontdekte waarschuwde Grindr, dat aangaf dat het probleem was verholpen. Dat was echter niet het geval en na vijf dagen zonder verdere reactie van Grindr waarschuwde deze onderzoeker Troy Hunt, de man achter datalekzoekmachine Have I Been Pwned. Nadat Hunt via Twitter om een securitycontact bij Grindr vroeg en met de ontwikkelaars van de dating-app in contact kwam werd de kwetsbaarheid snel verholpen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Wij zijn op zoek naar een ervaren en gecertificeerde CISO die een bewezen trackrecord heeft in de uitvoering en het verder volwassen maken van de security functie. Als Chief Information Security Officer ontwikkel je strategie en beleid op het gebied van informatieveiligheid en zie je toe op de implementatie van informatiebeveiliging.
Security engineer
Werken aan optimale informatiebeveiliging voor en bij NPO in Hilversum. Dát is jouw doel als Security engineer. Met elke handeling die jij uitvoert, draag je eraan bij de verspreiding van het media-aanbod van de publieke omroep nog veiliger te maken. Interessant? Bekijk dan onze vacature.
Senior Privacy Officer
We are looking for an enthusiastic and knowledgeable senior privacy officer, with legal experience and affinity with working within a research institute. As a privacy officer for the entire TU/e, you are functionally coordinating the central data privacy team.
