Privasi & Data Pribadi

Akun Grindr Bisa Diretas dengan Mudah

Internet Sehat : Grindr, salah satu aplikasi kencan dan jejaring sosial terbesar di dunia untuk kaum gay, biseksual, trans, dan queer, telah memperbaiki kerentanan keamanan yang memungkinkan siapa pun untuk membajak dan mengendalikan akun pengguna mana pun hanya dengan menggunakan alamat email mereka.

Wassime Bouimadaghene, seorang peneliti keamanan Prancis menemukan kerentanan tersebut dan melaporkan masalah tersebut ke Grindr. Ketika dia tidak mendengar kabar, Bouimadaghene membagikan detail kerentanan tersebut dengan pakar keamanan Troy Hunt untuk membantu. Kerentanan tersebut diperbaiki beberapa saat kemudian.

Hunt menguji dan mengonfirmasi kerentanan dengan bantuan dari akun pengujian yang disiapkan oleh Scott Helme dan membagikan temuannya dengan TechCrunch.

Bouimadaghene menemukan kerentanan dalam cara aplikasi menangani penyetelan ulang kata sandi akun. Untuk menyetel ulang kata sandi, Grindr mengirimkan pengguna email dengan tautan yang dapat diklik yang berisi token penyetelan ulang kata sandi akun. Setelah diklik, pengguna dapat mengubah sandi mereka dan diizinkan kembali ke akun mereka.

Akan tetapi, Bouimadaghene menemukan bahwa halaman setel ulang sandi Grindr membocorkan token setel ulang sandi ke browser. Hal tersebut berarti siapa pun dapat memicu penyetelan ulang kata sandi yang mengetahui alamat email terdaftar pengguna dan mengumpulkan token penyetelan ulang kata sandi dari browser jika mereka tahu ke mana harus mencari.

Tautan yang dapat diklik yang dihasilkan Grindr untuk pengaturan ulang kata sandi diformat dengan cara yang sama, yang berarti pengguna yang bermaksud jahat dapat dengan mudah membuat tautan penyetelan ulang kata sandi mereka sendiri yang dapat diklik, tautan yang sama yang dikirim ke kotak masuk pengguna dan menggunakan token penyetelan ulang kata sandi yang bocor dari browser.

Dengan tautan yang dibuat itu, pengguna yang berniat jahat dapat menyetel ulang sandi pemilik akun dan mendapatkan akses ke akun mereka dan data pribadi yang disimpan di dalamnya, termasuk foto akun, pesan, orientasi seksual dan status HIV dan tanggal tes terakhir.

Dalam sebuah pernyataan, chief operating officer Grindr Rick Marini mengatakan bahwa mereka berterima kasih atas peneliti yang mengidentifikasi kerentanan. Masalah yang dilaporkan telah diperbaiki.

Grindr memiliki sekitar 27 juta pengguna, dengan sekitar 3 juta menggunakan aplikasi setiap hari. Grindr dijual awal tahun ini oleh mantan pemiliknya di China, Beijing Kunlun, kepada perusahaan yang berbasis di Los Angeles yang dikatakan sebagian besar dipimpin oleh orang Amerika, menyusul tuduhan bahwa kepemilikan perusahaan di China merupakan ancaman keamanan nasional.

Tahun lalu, dilaporkan bahwa meski berada di bawah kepemilikan China, Grindr mengizinkan insinyur di Beijing mengakses data pribadi jutaan pengguna AS, termasuk pesan pribadi dan status HIV mereka.

Sumber : TechCrunch

Sumber Foto : ABC7 San Francisco

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.