Grindr被曝有能讓黑客劫持使用者賬號的安全漏洞:現已修復

原標題:Grindr被曝有能讓黑客劫持使用者賬號的安全漏洞:現已修復

據外媒TechCrunch報道,Grindr是為同性戀、雙性戀、跨性別者和queer群體提供的最大約會和網路應用之一。日前,該應用修復了一個允許任何人僅通過電子郵件地址劫持和控制任何使用者賬號的安全漏洞。法國安全研究員Wassime Bouimadaghene發現了這個漏洞並向Grindr報告了這個問題。

當他沒有得到回覆時,Bouimadaghene向安全專家Troy Hunt分享了這個漏洞的細節細節。

不過該漏洞和快得到了修復。

在Scott Helme建立的一個測試賬號的幫助下,Hunt測試並確認了這個漏洞並將他的發現分享給了TechCrunch。

Bouimadaghene發現該應用在處理賬號密碼重置方面存在漏洞。

據瞭解,如果使用者想要重設密碼,Grindr會向其傳送一封電子郵件,其中包含一個可點選的連結--當中有一個賬號密碼重設令牌。一旦被點選,使用者就可以更改密碼並被允許回到他們的賬號。

但Bouimadaghene發現Grindr的密碼重置頁面會將密碼重置令牌洩露給瀏覽器。這意味著,任何知道使用者註冊電子郵件地址的人都可以觸發密碼重置並從瀏覽器中收集密碼重置令牌--如果他們知道去哪裡查詢的話。

Grindr被曝有能讓黑客劫持使用者賬號的安全漏洞:現已修復

惡意使用者可以重新設定賬號所有者的密碼並獲得他們的賬號及其儲存的個人資料--包括賬戶照片、資訊、性取向、艾滋病狀況和最後一次檢測日期等。

Grindr被曝有能讓黑客劫持使用者賬號的安全漏洞:現已修復

Grindr CEO Rick Marini在一份提供給TechCrunch的宣告中指出:“我們感謝發現漏洞的研究人員。報告的問題已經得到修復。值得慶幸的是,我們相信在這個問題被任何惡意分子利用之前已經被解決。”

另外他繼續說道:“我們致力於改善我們服務的安全性,為此我們正在跟一家領先的安全合作以簡化和提高安全研究人員報告此類問題的能力。此外,我們將很快宣佈一個新的漏洞獎勵計劃,它將為研究人員提供額外的獎勵以幫助我們保持我們的服務安全向前發展。”

據悉,Grindr目前擁有約有2700萬名使用者,每天約有300萬名使用者在使用該應用。

責任編輯:

閱讀 ()
喜歡這篇文章嗎?立刻分享出去讓更多人知道~

相關文章