Parola sıfırlama özelliğiyle Grindr hesaplarını hacklemek
(troyhunt.com)-
Grindr, dünyanın en büyük GBTQ sosyal ağı ve kayıt sürecinin kendisi önemli bir kişisel veri meselesi
-
Parola sıfırlama sayfasındaki tasarım kusuru nedeniyle, başka birinin yalnızca e-posta adresini bilerek sıfırlama yapıp giriş yapmak mümkün
→ Sıfırlama isteği sırasında sıfırlama anahtarı web geliştirici araçlarında görülebiliyor. Bununla herkes sıfırlama yapabiliyor
→ Aynı yöntemle, başka birinin yalnızca e-posta adresini bilerek o kişi adına yeni hesap oluşturmak, parolayı sıfırlamak ve hesap ayarlarını yapmak da mümkün
- Bunu keşfeden kişi Grindr tarafına bildirdi ancak yanıt alamayınca Troy Hunt'a haber verdi
→ Troy, kişisel veri sızıntılarını bildirip bildirmediğini gösteren HIBP (Have I Been Pwned) hizmetini işleten bir güvenlik uzmanı
- Troy bu içeriği yayımladıktan sonra Grindr ancak o zaman ilgili sorunu düzeltti ve bir Bug Bounty başlatacağını bildirdi
1 yorum
Şifre sıfırlama ve hesapla ilgili akışlar düzgün tasarlanmazsa büyük sorunlara yol açabilir.
Bu tür örneklere bakıp herkesin kendi hizmetini gözden geçirmesinde fayda var.