Grindr in problemen door beveiligingsfout: accounts kapen was erg makkelijk

Door: Mark Hofman - 2 reacties
Grindr
(Afbeelding: Grindr)

Dating applicatie Grindr heeft de wereld, wederom, teleurgesteld. Waar je zou verwachten dat een app zoals deze er alles aan doet om de gegevens van zijn gebruikers te beschermen, lijkt dat zeker niet het geval te zijn geweest. Er is een serieus beveiligingsprobleem opgelost.

Dankzij een fout in de beveiliging van Grindr was het voor kwaadwilligen erg makkelijk om accounts van andere in te komen. Het enige wat ze nodig hadden was het e-mailadres van de persoon in kwestie.

Beveiligingsfout Grindr legt gevoelige informatie bloot

Van een reguliere Dating-applicatie mag je al verwachten dat de gegevens van zijn gebruikers goed bewaard worden. Van een applicatie dat niet alleen je seksuele voorkeuren, maar ook je HIV-status kent mag je verwachten dat er alles aan gedaan wordt om die informatie achter slot en grendel te bewaren. Toch is Grindr er niet in geslaagd om dat voor elkaar te krijgen. Sterker nog: na een duidelijke waarschuwing, van Franser beveiligingsonderzoeker Wassime Bouimadaghene, over het probleem heeft het platform de boel simpelweg genegeerd. Grindr ging pas over op actie toen de beveiligingsfout in de media bekend werd gemaakt.

Het gaat om een fout waardoor de accounts van gebruikers erg toegankelijk werd voor anderen. De fout zat ‘em in het formulier waarmee gebruikers hun wachtwoord kunnen resetten. In plaats van dat gebruikers een autorisatie-code in de mail ontvangen, werd deze direct in het formulier weergeven. Mensen die dus in jouw account wilde komen hoefde dus alleen achter je e-mailadres te komen. Vervolgens was het een kwestie van het wachtwoord resetten via het formulier en ze waren binnen.

Grindr 001
Klik/tap voor groter. (Afbeelding: Grindr)

Bug Bounty Programma

Tegenover TechCrunch laat Grindr COO Rick Marini weten dat er, volgens het bedrijf zelf, geen gebruik gemaakt is van de fout.

“We denken dat het probleem is opgelost, voordat kwaadaardige partijen hem ontdekten.”

Om dit soort problemen in de toekomst op te lossen gaat het bedrijf, naar eigen zeggen, een samenwerking aan met een “groot bedrijf dat zich richt op veiligheid”. Daarnaast zal Grindr gebruik maken van een bug bounty programma. Hierdoor kunnen beveiligingsonderzoekers, zoals Wassime Bouimadaghene, makkelijker in contact komen met de juiste mensen binnen het bedrijf.

Reacties

2 reacties
  • Profielfoto
    KarelWillem

    Het gaat om een fout waardoor de accounts van gebruikers erg toegankelijk werd voor anderen.

    Die hele app draait toch om het feit dat je ‘erg toegankelijk’ bent voor anderen, dus wat maakt het uit…

    ;)

  • Profielfoto
    swappa001

    de Fout zat hem in het formulier, hebben we het hier over sql injectie wat kon worden toegepast? Elke pentester zou dit gevonden moeten hebben.