记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Grindr被曝有能让黑客劫持用户账号的安全漏洞:现已修复

2020-10-08 22:29

据外媒TechCrunch报道,Grindr是为同性恋、双性恋、跨性别者和queer群体提供的最大约会和社交网络应用之一。

据外媒TechCrunch报道,Grindr是为同性恋、双性恋、跨性别者和queer群体提供的最大约会和社交网络应用之一。日前,该应用修复了一个允许任何人仅通过电子邮件地址劫持和控制任何用户账号的安全漏洞。法国安全研究员Wassime Bouimadaghene发现了这个漏洞并向Grindr报告了这个问题。

当他没有得到回复时,Bouimadaghene向安全专家Troy Hunt分享了这个漏洞的细节细节。

不过该漏洞和快得到了修复。

在Scott Helme创建的一个测试账号的帮助下,Hunt测试并确认了这个漏洞并将他的发现分享给了TechCrunch。

Bouimadaghene发现该应用在处理账号密码重置方面存在漏洞。

据了解,如果用户想要重设密码,Grindr会向其发送一封电子邮件,其中包含一个可点击的链接--当中有一个账号密码重设令牌。一旦被点击,用户就可以更改密码并被允许回到他们的账号。

但Bouimadaghene发现Grindr的密码重置页面会将密码重置令牌泄露给浏览器。这意味着,任何知道用户注册电子邮件地址的人都可以触发密码重置并从浏览器中收集密码重置令牌--如果他们知道去哪里查找的话。

恶意用户可以重新设置账号所有者的密码并获得他们的账号及其存储的个人数据--包括账户照片、信息、性取向、艾滋病状况和最后一次检测日期等。

Grindr CEO Rick Marini在一份提供给TechCrunch的声明中指出:“我们感谢发现漏洞的研究人员。报告的问题已经得到修复。值得庆幸的是,我们相信在这个问题被任何恶意分子利用之前已经被解决。”

另外他继续说道:“我们致力于改善我们服务的安全性,为此我们正在跟一家领先的安全公司合作以简化和提高安全研究人员报告此类问题的能力。此外,我们将很快宣布一个新的漏洞奖励计划,它将为研究人员提供额外的奖励以帮助我们保持我们的服务安全向前发展。”
据悉,Grindr目前拥有约有2700万名用户,每天约有300万名用户在使用该应用。

知识来源: https://www.t00ls.net/articles-58205.html

阅读:16218 | 评论:0 | 标签:漏洞 黑客 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“Grindr被曝有能让黑客劫持用户账号的安全漏洞:现已修复”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云