全球最大同志交友軟體「Grindr」驚傳資安漏洞!資安專家發現,駭客只要知道用戶註冊的電子郵件,加上一個簡單的動作,就可以輕易竄改登入密碼,進而獲取用戶的帳號及所有個資。官方表示,已經修復這項漏洞,目前尚未發現有遭駭客利用的情況。
根據資料,Grindr在全球200多國擁有逾2700萬名用戶,每天活躍用戶數約300萬人,美國饒舌天王阿姆(Eminem)、英國議會、達美航空都曾被媒體點名有人使用。
國外科技網站《TechCrunch》報導,許多人都曾遇過忘記密碼的情況,通常官方會寄一封信到用戶的註冊信箱,內附一個連結,供用戶點擊後重設密碼。但法國資安專家Wassime Bouimadaghene發現,若在Grindr的重設密碼申請表中填入特定的電子信箱,官方會將重設密碼需要的金鑰私下傳送到瀏覽器。這表示,任何人都可以在沒收到信的情況下直接使用金鑰更改密碼,掌握用戶的帳號及個資。
Grindr官方表示,目前未發現有駭客利用這項漏洞入侵,也已經修復這個問題。未來將持續與資安公司合作,提供獎金,鼓勵研究人員找出並防堵任何可能的漏洞。
