域名频道资讯站访问:
阿里云推出高校特惠专场:0元体验入门云计算 快速部署创业项目
当他没有得到回复时,Bouimadaghene向安全专家Troy Hunt分享了这个漏洞的细节细节。
不过该漏洞和快得到了修复。
在Scott Helme创建的一个测试账号的帮助下,Hunt测试并确认了这个漏洞并将他的发现分享给了TechCrunch。
Bouimadaghene发现该应用在处理账号密码重置方面存在漏洞。
据了解,如果用户想要重设密码,Grindr会向其发送一封电子邮件,其中包含一个可点击的链接–当中有一个账号密码重设令牌。一旦被点击,用户就可以更改密码并被允许回到他们的账号。
但Bouimadaghene发现Grindr的密码重置页面会将密码重置令牌泄露给浏览器。这意味着,任何知道用户注册电子邮件地址的人都可以触发密码重置并从浏览器中收集密码重置令牌–如果他们知道去哪里查找的话。
恶意用户可以重新设置账号所有者的密码并获得他们的账号及其存储的个人数据–包括账户照片、信息、性取向、艾滋病状况和最后一次检测日期等。
Grindr CEO Rick Marini在一份提供给TechCrunch的声明中指出:“我们感谢发现漏洞的研究人员。报告的问题已经得到修复。值得庆幸的是,我们相信在这个问题被任何恶意分子利用之前已经被解决。”
另外他继续说道:“我们致力于改善我们服务的安全性,为此我们正在跟一家领先的安全公司合作以简化和提高安全研究人员报告此类问题的能力。此外,我们将很快宣布一个新的漏洞奖励计划,它将为研究人员提供额外的奖励以帮助我们保持我们的服务安全向前发展。”
据悉,Grindr目前拥有约有2700万名用户,每天约有300万名用户在使用该应用。
本文素材来自互联网
