據外媒 TechCrunch 報導,Grindr 是為同性戀、雙性戀、跨性別者和 queer 群體提供的最大約會和社交網絡應用之一。日前,該應用修復了一個允許任何人僅通過電子郵件地址劫持和控制任何用戶帳號的安全漏洞。法國安全研究員 Wassime Bouimadaghene 發現了這個漏洞並向 Grindr 報告了這個問題。
當他沒有得到回覆時,Bouimadaghene 向安全專家 Troy Hunt 分享了這個漏洞的細節細節。
不過該漏洞和快得到了修復。
在 Scott Helme 創建的一個測試帳號的幫助下,Hunt 測試並確認了這個漏洞並將他的發現分享給了 TechCrunch。
Bouimadaghene 發現該應用在處理帳號密碼重置方面存在漏洞。
據了解,如果用戶想要重設密碼,Grindr 會向其發送一封電子郵件,其中包含一個可點擊的連結 -- 當中有一個帳號密碼重設令牌。一旦被點擊,用戶就可以更改密碼並被允許回到他們的帳號。
但 Bouimadaghene 發現 Grindr 的密碼重置頁面會將密碼重置令牌洩露給瀏覽器。這意味著,任何知道用戶註冊電子郵件地址的人都可以觸發密碼重置並從瀏覽器中收集密碼重置令牌 -- 如果他們知道去哪裡查找的話。
惡意用戶可以重新設置帳號所有者的密碼並獲得他們的帳號及其存儲的個人數據 -- 包括帳戶照片、信息、性取向、愛滋病狀況和最後一次檢測日期等。
Grindr CEO Rick Marini 在一份提供給 TechCrunch 的聲明中指出:" 我們感謝發現漏洞的研究人員。報告的問題已經得到修復。值得慶幸的是,我們相信在這個問題被任何惡意分子利用之前已經被解決。"
另外他繼續說道:" 我們致力於改善我們服務的安全性,為此我們正在跟一家領先的安全公司合作以簡化和提高安全研究人員報告此類問題的能力。此外,我們將很快宣布一個新的漏洞獎勵計劃,它將為研究人員提供額外的獎勵以幫助我們保持我們的服務安全向前發展。"
據悉,Grindr 目前擁有約有 2700 萬名用戶,每天約有 300 萬名用戶在使用該應用。