Je zou denken dat de grootste gay app ter wereld de beveiliging van persoonlijke informatie wel op orde heeft, maar dat bleek niet het geval te zijn. Door een enorm simpele beveiligingsfout kon iedereen toegang krijgen tot de Grindr-account van een ander, als je maar het emailadres had van deze persoon.
Grindr heeft een beveiligingsprobleem verholpen waardoor iedereen het account van een gebruiker kon hacken en overnemen met alleen het e-mailadres. Een Franse beveiligingsonderzoeker vond de kwetsbaarheid en meldde het probleem aan Grindr. Toen hij niets hoorde, deelde de onderzoeker details over de kwetsbaarheid met beveiligingsexpert Troy Hunt om te helpen. Deze verifieerde het beveiligingsprobleem en de kwetsbaarheid werd korte tijd later verholpen.
Hoe de Grindr account hack werkte
Van een app als Grindr, die de seksualiteit en hiv-status van haar gebruikers kent, mag je verwachten dat ze grondige voorzorgsmaatregelen nemen om deze persoonlijke informatie te beschermen. Nadat een tijdje geleden bekend werd dat de app hiv-gegevens lekte van gebruikers, leek het erop dat het nu beter ging. Totdat bekend werd hoe makkelijk het was om een gebruikersaccount te hacken. Het was zelf zo makkelijk, dat iedereen het zou kunnen doen – zonder diepgaande technische kennis.
De hack was mogelijk via het formulier voor het opnieuw instellen van het wachtwoord van Grindr. Als je een e-mailadres invoerde van een gebruiker van Grindr, dan stuurde dit formulier een sleutel naar de browser waarmee je opnieuw een wachtwoord kon instellen. Deze sleutel, die je gewoon kon kopiëren en plakken, gaf vervolgens toegang tot de pagina waarop je een nieuw wachtwoord kunt instellen. En dat was het enige dat nodig was om een account te hacken: veel simpeler kan het niet.
In een verklaring vertelde COO Rick Marini van Grindr tegen TechCrunch: “We zijn de onderzoeker die de kwetsbaarheid heeft geïdentificeerd dankbaar. Het gemelde probleem is verholpen. Gelukkig denken we dat we het probleem hebben aangepakt voordat het werd misbruikt door kwaadwillende partijen.”
“Als onderdeel van ons streven om de veiligheid en beveiliging van onze dienst te verbeteren, werken we samen met een toonaangevend beveiligingsbedrijf om dit soort problemen makkelijker te melden, te vereenvoudigen en te verbeteren. Bovendien zullen we binnenkort een nieuw bug bounty-programma aankondigen om onderzoekers extra te stimuleren om ons te helpen de dienst in de toekomst veilig te houden,” aldus Marini.
Verliefd worden is meer...
... dan toeval. Er zijn twee personen voor nodig die ervoor openstaan. Bij gayParship weten ze welke aspecten belangrijk zijn voor een langdurige relatie. Hun matchingsprincipe heeft één doel: het samenbrengen van mensen die bij elkaar passen en samen gelukkig zijn, en dat natuurlijk voor lange tijd. Ontdek zelf hoe 1 op de 3 leden er een partner vindt.