Χακάρισμα στο Grindr: Κενό ασφαλείας επέτρεπε την πρόσβαση μόνο με το mail του χρήστη
Τech & Science

Χακάρισμα στο Grindr: Κενό ασφαλείας επέτρεπε την πρόσβαση μόνο με το mail του χρήστη

Το σοβαρό κενό ασφαλείας της δημοφιλούς εφαρμογής γκέι γνωριμιών επέτρεπε σε χάκερ να παραβιάσουν τους λογαριασμούς των χρηστών, ζητώντας απλά το reset του κωδικού.

Ένα κενό ασφαλείας στο Grindr μπορούσε να δώσει σε επίδοξους χάκερ εύκολη πρόσβαση σε λογαριασμούς χρηστών, μόνο με τη διεύθυνση του mail τους.

 

Το κενό ασφαλείας του Grindr ήρθε στη δημοσιότητα από τον Γάλλο ερευνητή ασφαλείας Wassime Bouimadaghene και στη συνέχεια καταγράφηκε από τους ειδικούς ασφαλείας Troy Hunt και Scott Helme

 

Στην έρευνά του ο Bouimadaghene ανακάλυψε ότι ένα κενό ασφαλείας στο site του Grindr επέτρεπε σε χάκερ να παραβιάσουν τους λογαριασμούς των χρηστών, ζητώντας απλά το reset του κωδικού.

 

Με άλλα λόγια, αν ένας χάκερ γνώριζε το mail με το οποίο ο χρήστης έχει συνδεθεί, μπορούσε να ζητήσει επαναφορά κωδικού. Στη συνέχεια η εφαρμογή, ως γνωστόν, στέλνει αυτοματοποιημένο μέιλ στον χρήστη με ένα URL για να επαναφέρει τον κωδικό – όμως ο Bouimadaghene ανακάλυψε ότι το ίδιο URL μπορούσε να βρεθεί και στον κώδικα του site.

 

Ως αποτέλεσμα, οι χάκερ θα μπορούσαν να αποκτήσουν πρόσβαση στους λογαριασμούς των χρηστών, άρα και σε προσωπικές και συχνά πολύ ευαίσθητες πληροφορίες, όπως οι φωτογραφίες, τα μηνύματα, ο σεξουαλικός τους προσανατολισμός και το status τους ως προς τον HIV.

 

Ο Bouimadaghene επικοινώνησε με το Grindr για να τους ενημερώσει για το κενό ασφαλείας, αλλά δηλώνει ότι δεν έλαβε απάντηση από την εταιρεία. Συνεπακόλουθα επικοινώνησε με τον Troy Hunt, δημιουργό του site Have I Been Pwned, όπου μπορεί κάποιος να διαπιστώσει αν το mail ή ο κωδικός του έχουν εκτεθεί σε συλλογή δεδομένων. Στη συνέχεια εκείνος συνεργάστηκε με τον Scott Helme, ο οποίος δημιούργησε για τον σκοπό της έρευνας λογαριασμό στο Grindr. O Hunt μπόρεσε να αποκτήσει πρόσβαση στον λογαριασμό του Helme και να κάνει login μέσω της εφαρμογής.

 

O Hunt έγραψε συγκεκριμένα: «Είναι μια από τις πιο εύκολες τεχνικές χακαρίσματος που έχω δει. Η ευκολία πρόσβασης είναι απίστευτη και οι συνέπειες είναι προφανώς σημαντικές, οπότε πρέπει σίγουρα να το λάβουν υπόψη τους».

 

Ο Hunt επιβεβαίωσε ότι ο Bouimadaghene κοινοποίησε τα ευρήματα της έρευνας για το Grindr στις 24 Σεπτεμβρίου. Ένας εκπρόσωπος τεχνικής υποστήριξης του είπε ότι το ζήτημα είχε μεταφερθεί στους προγραμματιστές και ότι είχε επιλυθεί.

 

Όπως και ο Bouimadaghene, ο Hunt αντιμετώπισε δυσκολίες στην επικοινωνία με το Grindr, αλλά η αναφορά του έφτασε τελικά στην ομάδα ασφαλείας και το κενό σύντομα επιδιορθώθηκε.

 

Ο διευθύνων σύμβουλος του Grindr Rick Marini δήλωσε στο Tech Crunch: «Ευχαριστούμε τον ερευνητή που ανακάλυψε το σφάλμα. Το θέμα έχει επιλυθεί. Ευτυχώς πιστεύουμε ότι το αντιμετωπίσαμε πριν να το εκμεταλλευθούν οι επιτήδειοι. Με άξονα τη δέσμευσή μας στη βελτίωση των παρεχόμενων υπηρεσιών και της ασφάλειας, συνεργαζόμαστε με μια επιφανή εταιρεία ασφαλείας για να απλοποιήσουμε και να βελτιώσουμε τη δυνατότητα για τους ερευνητές να αναφέρουν θέματα σαν αυτά».

 

Μόλις πριν από δύο χρόνια, το δημοφιλέστερο app γκέι γνωριμιών είχε λάβει σωρεία αρνητικών σχολίων όταν αποκαλύφθηκε ότι κοινοποιούσε το HIV status των χρηστών του με τρίτους, συγκεκριμένα με δύο εταιρείες που «βελτιστοποιούν εφαρμογές».

 

Με πληροφορίες από BBC

 

Ακολουθήστε το LiFO.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις

 

Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, στο LiFO.gr

Τech & Science

ΔΕΙΤΕ ΑΚΟΜΑ

Αστεροειδής στο μέγεθος ουρανοξύστη θα περάσει «κοντά» από τη Γη

Τech & Science Αστεροειδής στο μέγεθος ουρανοξύστη θα περάσει «κοντά» από τη Γη

24.11.2020
Ο Δίας και ο Κρόνος θα «συναντηθούν» στον ουρανό για πρώτη φορά από το μεσαίωνα

Τech & Science Ο Δίας και ο Κρόνος θα «συναντηθούν» στον ουρανό για πρώτη φορά από το μεσαίωνα

24.11.2020
Τι σημαίνει U=U; Η νέα καμπάνια της Θετικής Φωνής για την Παγκόσμια Ημέρα για το AIDS

Τech & Science Τι σημαίνει U=U; Η νέα καμπάνια της Θετικής Φωνής για την Παγκόσμια Ημέρα για το AIDS

24.11.2020
Κορωνοϊός: Τι είναι η «long COVID» - Χρόνιες επιπτώσεις και σε ασθενείς με ήπια συμπτώματα

Τech & Science Κορωνοϊός: Τι είναι η «long COVID» - Χρόνιες επιπτώσεις και σε ασθενείς με ήπια συμπτώματα

24.11.2020
Έντεκα Έλληνες πανεπιστημιακοί στους ερευνητές με τη μεγαλύτερη επιρροή παγκοσμίως

Τech & Science Έντεκα Έλληνες πανεπιστημιακοί στους ερευνητές με τη μεγαλύτερη επιρροή παγκοσμίως

23.11.2020
Ενδείξεις για έκρηξη ηφαιστείου στον Άρη πριν 53.000 χρόνια και για αρχαία μεγα-πλημμύρα

Τech & Science Ενδείξεις για έκρηξη ηφαιστείου στον Άρη πριν 53.000 χρόνια και για αρχαία μεγα-πλημμύρα

23.11.2020
Vegan διατροφή: Μεγαλύτερος κίνδυνος κατάγματος για όσους δεν τρώνε κρέας - Έρευνα

Τech & Science Vegan διατροφή: Μεγαλύτερος κίνδυνος κατάγματος για όσους δεν τρώνε κρέας - Έρευνα

23.11.2020
Εμβόλιο της Οξφόρδης: 70% αποτελεσματικότητα ανακοίνωσε η AstraZeneca

Τech & Science Εμβόλιο της Οξφόρδης: 70% αποτελεσματικότητα ανακοίνωσε η AstraZeneca

23.11.2020
Carnian Pluvial Episode: Η μαζική εξαφάνιση ειδών που έφερε την κυριαρχία δεινοσαύρων στον πλανήτη

Τech & Science Carnian Pluvial Episode: Η μαζική εξαφάνιση ειδών που έφερε την κυριαρχία δεινοσαύρων στον πλανήτη

23.11.2020
Η Κίνα ετοιμάζεται για την πρώτη λήψη πετρωμάτων από τη Σελήνη μετά το ‘70

Τech & Science Η Κίνα ετοιμάζεται για την πρώτη λήψη πετρωμάτων από τη Σελήνη μετά το ‘70

22.11.2020
Πρέπει να είστε μέλος για να αναρτήσετε σχόλια