网络安全和数据安全:资讯、技术、法规、趋势。

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


Grindr被曝有能让黑客劫持用户账号的安全漏洞:现已修复

2020-10-03 22:42 推荐: 浏览: 63 字号:

摘要: 据外媒TechCrunch报道,Grindr是为同性恋、双性恋、跨性别者和queer群体提供的最大约会和社交网络应用之一。日前,该应用修复了一个允许任何人仅通过电子邮件地址劫持和控制任何用户账号的安全漏洞。法国安全研究员Wassime Bouimadaghen...

据外媒TechCrunch报道,Grindr是为同性恋、双性恋、跨性别者和queer群体提供的最大约会和社交网络应用之一。日前,该应用修复了一个允许任何人仅通过电子邮件地址劫持和控制任何用户账号的安全漏洞。法国安全研究员Wassime Bouimadaghene发现了这个漏洞并向Grindr报告了这个问题。

当他没有得到回复时,Bouimadaghene向安全专家Troy Hunt分享了这个漏洞的细节细节。

不过该漏洞和快得到了修复。

在Scott Helme创建的一个测试账号的帮助下,Hunt测试并确认了这个漏洞并将他的发现分享给了TechCrunch。

Bouimadaghene发现该应用在处理账号密码重置方面存在漏洞。

据了解,如果用户想要重设密码,Grindr会向其发送一封电子邮件,其中包含一个可点击的链接--当中有一个账号密码重设令牌。一旦被点击,用户就可以更改密码并被允许回到他们的账号。

但Bouimadaghene发现Grindr的密码重置页面会将密码重置令牌泄露给浏览器。这意味着,任何知道用户注册电子邮件地址的人都可以触发密码重置并从浏览器中收集密码重置令牌--如果他们知道去哪里查找的话。

account-password-token.jpg

恶意用户可以重新设置账号所有者的密码并获得他们的账号及其存储的个人数据--包括账户照片、信息、性取向、艾滋病状况和最后一次检测日期等。

helme-hunt-grindr.jpg

Grindr CEO Rick Marini在一份提供给TechCrunch的声明中指出:“我们感谢发现漏洞的研究人员。报告的问题已经得到修复。值得庆幸的是,我们相信在这个问题被任何恶意分子利用之前已经被解决。”

另外他继续说道:“我们致力于改善我们服务的安全性,为此我们正在跟一家领先的安全公司合作以简化和提高安全研究人员报告此类问题的能力。此外,我们将很快宣布一个新的漏洞奖励计划,它将为研究人员提供额外的奖励以帮助我们保持我们的服务安全向前发展。”

据悉,Grindr目前拥有约有2700万名用户,每天约有300万名用户在使用该应用。

稿源:cnBeta.COM

联系站长租广告位!

中国首席信息安全官
Copy link