-
Grindr ist das größte GBTQ-SNS der Welt, daher ist bereits die Anmeldung selbst ein wichtiges Datenschutzthema
-
Durch einen Designfehler auf der Seite zum Zurücksetzen des Passworts war es möglich, ein Konto zurückzusetzen und sich anzumelden, wenn man nur die E-Mail-Adresse einer anderen Person kannte
→ Beim Anfordern des Zurücksetzens war der Reset-Schlüssel in den Web-Entwicklertools sichtbar. Damit konnte jeder das Passwort zurücksetzen
→ Auf dieselbe Weise war es möglich, wenn man nur die E-Mail-Adresse einer anderen Person kannte, ein neues Konto für diese Person zu erstellen, das Passwort zurückzusetzen und auch die Kontoeinstellungen zu ändern
- Die entdeckende Person informierte Grindr darüber, erhielt jedoch keine Reaktion und wandte sich deshalb an Troy Hunt
→ Troy ist ein Sicherheitsexperte, der HIBP (Have I Been Pwned) betreibt, einen Dienst, der über Datenschutzverletzungen informiert
- Erst nachdem Troy diese Details öffentlich gemacht hatte, behob Grindr das Problem und teilte mit, dass ein Bug-Bounty-Programm durchgeführt werde
1 Kommentare
Wenn Funktionen zum Zurücksetzen von Passwörtern und accountbezogene Abläufe nicht sauber konzipiert sind, kann das gravierende Folgen haben.
Es scheint sinnvoll, solche Fälle zum Anlass zu nehmen und die eigenen Dienste entsprechend zu überprüfen.