Un bug di Grindr rendeva facilissimo infilarsi negli account

Un bug di Grindr rendeva facilissimo infilarsi negli account

Un sciolto “contraffazione e incolla” permetteva di accedere per un disegno qualsiasi di Grindr. Bastava riconoscere l’indirizzo email adoperato. Allora la rottura e stata riparata.

Grindr, la piuttosto abbondante applicazione di incontri dedicata alla community lgbt+, aveva una pericolosissima vulnerabilita di fiducia che avrebbe potuto autorizzare per chiunque di prendere il revisione di un account apertamente usando l’azione di “copia e incolla”.

Insieme circa 27 milioni di utenti Grindr enumerazione circa 3 milioni di accessi giornalieri e non e nuova a scivoloni nel agro della perizia dei propri utenti. L’applicazion e stata usata nel 2014 dagli agenti della gendarmeria egiziana per abbinare la comunita lgbt+ invece con l’aggiunta di recentemente, nel 2019, l’applicazione avrebbe concesso per degli ingegneri di Pechino di accedere ai dati personali di milioni di utenti statunitensi.

La vulnerabilita protagonista dell’attuale vicenda e stata individuata dal osservatore di perizia francese Wassime Bouimadaghene in quanto, che avviene sopra questi casi, ha ora riportato la falla nella fiducia alla gruppo interessata. Non ricevendo, tuttavia, alcuna sentenza da Grindr, il osservatore ha condiviso i dettagli unitamente Troy Hunt, qualificato di cybersicyurezza e istitutore del sito Have I been pwned?, con cerca di un affezione.

Hunt ha evidente un conveniente caro a fare un ipocrita contorno di Grindr attraverso attestare la vulnerabilita. E bastato indi immettere l’indirizzo email del spaccato bersaglio e elemosinare una modernita password per accedere al token di ricostruzione.

Hunt accede al token di restauro del contorno Grindr usando gli strumenti di esame del browser (aspetto: blog di Troy Hunt)

E bastato usare gli Strumenti in sviluppatori contenuti nel browser a causa di accedere alla centro necessaria verso abbracciare nell’account oggetto perche Grindr ha lasciato incustodita nel backend del situazione.

Copiando e incollando il token di recupero non e governo necessario accedere alla casella di imposizione elettronica della bersaglio in acquisire la centro d’accesso. Dietro aver inserito su Grindr e reimpostato la nuova password, le porte dell’account si sono aperte e l’applicazione ha comandato di sincronizzare sul apparecchio tutte le chat del bordo dando simile fitto entrata per tutti i dati dell’utente.

“Questa e una delle tecniche di acquisizione dell’account con l’aggiunta di basilari perche ho visto”, ha giudicato Hunt nel conveniente blogpost. “Non riesco per capire affinche il token di riattivazione, affinche dovrebbe essere una importante segreta, viene restituito nel corpo della giudizio di una interrogazione emessa durante maniera incognito. La arrendevolezza di impresa eccezionale e incredibilmente bassa e l’impatto e naturalmente eloquente, conseguentemente francamente attuale e non so che da rubare sul serio”.

Grindr ospita moltissime informazioni personali dei suoi utenti mezzo l’orientamento del sesso, le proprie universalita e il particolare condizione di certezza oppure tranne all’Hiv. Lasciando ma “nascosta vicino lo zerbino” la centro d’accesso ai profili, l’applicazione ha trascurato la fiducia dei propri utenti esponendo i loro dati per possibili violazioni.

“Siamo grati al osservatore affinche ha identificato una vulnerabilita”, ha commentato a Tech Crunch Rick Marini, il preside pratico della istituzione. “Il questione accennato e ceto risolto. A causa di caso, riteniamo di aver risolto il incognita inizialmente giacche venisse utilizzato da parti malintenzionate”.

La vulnerabilita protagonista dell’attuale vicenda e stata individuata dal ricercatore di confidenza francese Wassime Bouimadaghene perche, che avviene sopra questi casi, ha immediatamente riportato la falla nella abilita alla gruppo interessata. Non ricevendo, nondimeno, alcuna giudizio da Grindr, il indagatore ha condiviso i dettagli per mezzo di Troy Hunt, pratico di cybersicyurezza e istitutore del posto Have I been pwned?, sopra cattura di un agevolazione.

5 app (gay) di cui non potete comporre a tranne

Le applicazioni in smartphone e iPhone diventano omosex. Modello all’universo dei mini-programmi da recare sempre per mezzo di loro.

Dalle immancabili app attraverso incontri e conoscenze omosessuali alle guide invertito delle principali metropoli, passando verso le cuffie del cellulare fino verso un’interessante cura anti-omofobia.

Non c’e giacche da scapricciarsi: negli store si trovano tantissime applicazioni friendly, eppure attenti alle bufale.

Grindr

Altola ciascuno smartphone, il GPS fa il residuo: inaspettatamente il vostro gay radar maneggevole. E’ una delle applicazioni date me web ancora scaricate attraverso gli incontri.

Il meccanismo e chiaro: non solo e fattibile sbirciare entro i vari profili, eppure tutti gli utenti sono e geolocalizzati. Mediante altre parole e plausibile contattare chi e vicino per noi.

La esposizione sostegno, in Android, iPhone e BlackBerry, e gratuita. Ha avuto cosi numeroso accaduto – piu in la 2 milioni di utenti attivi ogni mese – affinche Grindr ha adepto verso badare verso una testimonianza etero.

Di app simili ce ne sono per bizzeffe. I cosiddetti orsi (termine affinche nello gergo invertito indica uomini con l’aggiunta di corpulenti e pelosi) possono valere sulle nutrite comunita presenti su Scruff e Growlr.

Lesbica Cities

Le vacanze sono finite? E’ il momento di meditare al prossimo viaggetto.

Ci sono applicazioni in quanto accompagnano alla esplorazione delle piu belle citta del mondo e dei loro angoli lesbica: ritrovo, caffe, hotel e ristoranti friendly, insieme mappe e recensioni.

Gay Cities, ad dimostrazione, e free e mediante britannico, ma e accessibile semplice durante iPhone. 220 le citta recensite in 6 continenti (in Italia c’e isolato Roma).

Tenete competenza cosicche le principali megalopoli hanno singole app dedicate alla gaylife abitato.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *