פרצת אבטחה ב-Grindr גורמת לחטיפת חשבונך

ניסית פעם את Grindr? אם תשובתך חיובית וקראת את הכותרת, השיער שלך כנראה יעמוד על קצות. אם אין לך את כולם איתך, אנחנו הולכים לספר לך מה קרה, כי אפליקציית ההיכרויות המפורסמת ביותר שקיימת כרגע רק מסכנת את הנתונים האישיים של מיליוני משתמשים ברחבי העולם כפי שאתה קורא אותו.

אבל בואו נלך צעד אחר צעד. מה בדיוק קרה? פרצת אבטחה הייתה מאפשרת להאקר מנוסה להשיג שליטה בחשבון של קורבן, כלומר, משתמש Grindr.למרות שבמקרה הזה היינו מדברים על אלפים ואלפים מהם. נראה שהבעיה תהיה ממוקמת במערכת ההתחברות, לפיה יהיה קל יחסית למומחה לתפוס את החזקת החשבון מכל משתמש.

תמונה: Troy Hunt/ מסופק דרך: Techcrunch

תוקפים יכולים להיכנס ל-Grindr

מומחים מ-TechCrunch תיארו את מאפייני הכשל. נראה שפגיעות במערכת ההתחברות של Grindr תאפשר לתוקפים להיכנס ל-Grindr כל מה שהם צריכים לדעת זה חשבונות דואר אלקטרוני של המשתמשים. פושעים יכלו להיכנס דרך אתר האינטרנט של האפליקציה ומשם להפעיל את מערכת שחזור הסיסמה, הזמינה עבור אותם משתמשים ששוכחים אותה.

הפער יקל על שינוי הסיסמה, מכיוון שהאסימון (מערכת האבטחה) יהיה מושלם נגיש דרך אפשרויות המפתחים של הדפדפן.כל מי שיודע קצת על זה יכול לפרוץ בקלות למערכת שחזור הסיסמאות ובסופו של דבר להשיג שליטה בחשבון Grindr של המשתמש.

משם, בנוסף, יכלו פושעי סייבר לקבל מידע אינטימי וישיר מהמשתמשים, ולהעמיד אותם לחסדיהם, כפי שהיו עושים עם שליטה מוחלטת בחשבון. יש לציין שמכיוון שמדובר באפליקציית היכרויות, Grindr מכיל מידע רגיש מאוד על משתמשים: אחת הרגישות ביותר, מצב HIV, אפשרות שיכולה להיענות באופן חופשי או אופציונלי וזה יכול להיות מאוד ספציפי. כמו גם להודיע ​​על תאריך הניתוח האחרון. שלא לדבר על הודעות פרטיות, פגישות ושאר העדפות בעלות אופי פרטי.

תמונה: Troy Hunt/ מסופק דרך: Techcrunch

בעיה זו תוקנה

דיבר עם TechCrunch, ה-COO של Grindr, ריק מריני, הסביר ש-הפגיעות דווחה כדין על ידי החוקר שאיתר אותה , מה שאיפשר את הבעיה, בשלב זה, יש לתקן. הם גם חושבים שבאמצעות התראה מהירה הם הצליחו לפתור את התקרית לפני שהאקר הצליח לנצל אותו.

COO של Grindr, ריק מריני, הסביר שהפגיעות דווחה כדין על ידי החוקר שאיתר אותה, מה שאיפשר את הבעיה, בשלב זה, יש לתקן. הם גם רואים שבאמצעות התראה מהירה הם הצליחו לפתור את התקרית לפני שהאקר הצליח לנצל אותו.

כדי למנוע תקלות מסוג זה בעתיד (יש לזכור שזו לא הייתה הפרצה היחידה שסיכנה מידע פרטי ומשתמשים אישיים), המנהל הודיע ​​כי בקרוב תוכרז תוכנית תגמולים לאנשי מקצוע שרוצים להתריע על תקריות, נקודות תורפה ופערי שירות.