Χακάρισμα στο Grindr: Κενό ασφαλείας επέτρεπε την πρόσβαση μόνο με το mail του χρήστη

Χακάρισμα στο Grindr: Κενό ασφαλείας επέτρεπε την πρόσβαση μόνο με το mail του χρήστη Facebook Twitter
0

Ένα κενό ασφαλείας στο Grindr μπορούσε να δώσει σε επίδοξους χάκερ εύκολη πρόσβαση σε λογαριασμούς χρηστών, μόνο με τη διεύθυνση του mail τους.

Το κενό ασφαλείας του Grindr ήρθε στη δημοσιότητα από τον Γάλλο ερευνητή ασφαλείας Wassime Bouimadaghene και στη συνέχεια καταγράφηκε από τους ειδικούς ασφαλείας Troy Hunt και Scott Helme

Στην έρευνά του ο Bouimadaghene ανακάλυψε ότι ένα κενό ασφαλείας στο site του Grindr επέτρεπε σε χάκερ να παραβιάσουν τους λογαριασμούς των χρηστών, ζητώντας απλά το reset του κωδικού.

Με άλλα λόγια, αν ένας χάκερ γνώριζε το mail με το οποίο ο χρήστης έχει συνδεθεί, μπορούσε να ζητήσει επαναφορά κωδικού. Στη συνέχεια η εφαρμογή, ως γνωστόν, στέλνει αυτοματοποιημένο μέιλ στον χρήστη με ένα URL για να επαναφέρει τον κωδικό – όμως ο Bouimadaghene ανακάλυψε ότι το ίδιο URL μπορούσε να βρεθεί και στον κώδικα του site.

Ως αποτέλεσμα, οι χάκερ θα μπορούσαν να αποκτήσουν πρόσβαση στους λογαριασμούς των χρηστών, άρα και σε προσωπικές και συχνά πολύ ευαίσθητες πληροφορίες, όπως οι φωτογραφίες, τα μηνύματα, ο σεξουαλικός τους προσανατολισμός και το status τους ως προς τον HIV.

Ο Bouimadaghene επικοινώνησε με το Grindr για να τους ενημερώσει για το κενό ασφαλείας, αλλά δηλώνει ότι δεν έλαβε απάντηση από την εταιρεία. Συνεπακόλουθα επικοινώνησε με τον Troy Hunt, δημιουργό του site Have I Been Pwned, όπου μπορεί κάποιος να διαπιστώσει αν το mail ή ο κωδικός του έχουν εκτεθεί σε συλλογή δεδομένων. Στη συνέχεια εκείνος συνεργάστηκε με τον Scott Helme, ο οποίος δημιούργησε για τον σκοπό της έρευνας λογαριασμό στο Grindr. O Hunt μπόρεσε να αποκτήσει πρόσβαση στον λογαριασμό του Helme και να κάνει login μέσω της εφαρμογής.

O Hunt έγραψε συγκεκριμένα: «Είναι μια από τις πιο εύκολες τεχνικές χακαρίσματος που έχω δει. Η ευκολία πρόσβασης είναι απίστευτη και οι συνέπειες είναι προφανώς σημαντικές, οπότε πρέπει σίγουρα να το λάβουν υπόψη τους».

Ο Hunt επιβεβαίωσε ότι ο Bouimadaghene κοινοποίησε τα ευρήματα της έρευνας για το Grindr στις 24 Σεπτεμβρίου. Ένας εκπρόσωπος τεχνικής υποστήριξης του είπε ότι το ζήτημα είχε μεταφερθεί στους προγραμματιστές και ότι είχε επιλυθεί.

Όπως και ο Bouimadaghene, ο Hunt αντιμετώπισε δυσκολίες στην επικοινωνία με το Grindr, αλλά η αναφορά του έφτασε τελικά στην ομάδα ασφαλείας και το κενό σύντομα επιδιορθώθηκε.

Ο διευθύνων σύμβουλος του Grindr Rick Marini δήλωσε στο Tech Crunch: «Ευχαριστούμε τον ερευνητή που ανακάλυψε το σφάλμα. Το θέμα έχει επιλυθεί. Ευτυχώς πιστεύουμε ότι το αντιμετωπίσαμε πριν να το εκμεταλλευθούν οι επιτήδειοι. Με άξονα τη δέσμευσή μας στη βελτίωση των παρεχόμενων υπηρεσιών και της ασφάλειας, συνεργαζόμαστε με μια επιφανή εταιρεία ασφαλείας για να απλοποιήσουμε και να βελτιώσουμε τη δυνατότητα για τους ερευνητές να αναφέρουν θέματα σαν αυτά».

Μόλις πριν από δύο χρόνια, το δημοφιλέστερο app γκέι γνωριμιών είχε λάβει σωρεία αρνητικών σχολίων όταν αποκαλύφθηκε ότι κοινοποιούσε το HIV status των χρηστών του με τρίτους, συγκεκριμένα με δύο εταιρείες που «βελτιστοποιούν εφαρμογές».

Με πληροφορίες από BBC

Τech & Science
0

ΔΕΙΤΕ ΑΚΟΜΑ

Το μυστικό των Άμις: Η ζωή με ζώα χτίζει ισχυρό ανοσοποιητικό

Τech & Science / Το μυστικό των Άμις: Η ζωή με ζώα χτίζει ισχυρό ανοσοποιητικό

Μελέτες δείχνουν ότι η συμβίωση με ζώα από μικρή ηλικία ενισχύει το ανοσοποιητικό, μειώνει αλλεργίες και προστατεύει από αυτοάνοσα - Οι Αμις αποκαλύπτουν τον τρόπο που τα ζώα και τα μικρόβια τους διαμορφώνουν τη μακροχρόνια υγεία μας
LIFO NEWSROOM
Τεχνητή Νοημοσύνη: Το ChatGPT έδωσε «συνταγές» για βόμβες και ναρκωτικά κατά τη διάρκεια δοκιμών ασφαλείας

Τech & Science / Τεχνητή Νοημοσύνη: Το ChatGPT έδωσε «συνταγές» για βόμβες και ναρκωτικά κατά τη διάρκεια δοκιμών ασφαλείας

Δοκιμές της OpenAI και της Anthropic αποκάλυψαν ότι τα chatbots ήταν πρόθυμα να μοιραστούν οδηγίες για εκρηκτικά, βιολογικά όπλα και εγκλήματα στον κυβερνοχώρο
LIFO NEWSROOM
Η τεχνητή νοημοσύνη αυξάνει τις κυβερνοεπιθέσεις και η Ευρώπη είναι από τα πιο ευάλωτα «θύματα» - Ο λόγος

Τech & Science / Η τεχνητή νοημοσύνη αυξάνει τις κυβερνοεπιθέσεις και η Ευρώπη είναι από τα πιο ευάλωτα «θύματα» - Ο λόγος

Η τεχνητή νοημοσύνη καθοδηγεί τις κυβερνοεπιθέσεις και χρησιμοποιείται από χάκερ για να παραβιάσουν την ασφάλεια σε διάφορα επίπεδα και να διαδώσουν τις επιθέσεις μέσω πολλών παρόχων διαδικτύου (IP) ώστε να αποφευχθεί η ανίχνευση
LIFO NEWSROOM
«Δεν μπορούσαμε να πιστέψουμε πόσο παράξενος ήταν»: O δεινόσαυρος Spicomellus αποκαλύπτεται ακόμη πιο αλλόκοτος

Τech & Science / Ο «παράξενος» δεινόσαυρος Spicomellus αποκαλύπτεται ακόμη πιο αλλόκοτος

Σε κάθε πλευρά του σώματός του υπήρχαν αγκάθια μήκους περίπου 30 εκατοστών, ενσωματωμένα στα πλευρά, χαρακτηριστικό που δεν έχει καταγραφεί ποτέ σε κανένα άλλο σπονδυλωτό, ζωντανό ή εξαφανισμένο
LIFO NEWSROOM
Θανατηφόρο βακτήριο «χτυπάει» Νέα Υόρκη: Τι είναι η νόσος των Λεγεωνάριων και γιατί ανησυχούν οι ειδικοί

Τech & Science / Θανατηφόρο βακτήριο «χτυπάει» Νέα Υόρκη: Τι είναι η νόσος των Λεγεωνάριων και γιατί ανησυχούν οι ειδικοί

Έξαρση της νόσου των Λεγεωνάριων στο Χάρλεμ με έξι νεκρούς και πάνω από 100 κρούσματα - Πώς οι επιστήμονες ερευνούν δεκάδες πύργους ψύξης στη Νέα Υόρκη για να εντοπίσουν τη θανατηφόρα πηγή του βακτηρίου
LIFO NEWSROOM