Dating-app Grindr werd onlangs geconfronteerd met een ernstig beveiligingslek. Voor hackers, internetcriminelen en andere kwaadwillenden was het enige tijd mogelijk om accounts van gebruikers te kapen. Het enige dat ze nodig hadden was het e-mailadres van hun slachtoffer.
Dat schrijft Troy Hunt op zijn blog. Hunt is een beveiligingsspecialist uit Australië die in het verleden wel vaker kwetsbaarheden en andere beveiligingsproblemen bij bedrijven, software en apps aan de kaak heeft gesteld.
Je wachtwoord wijzigen bij online diensten doe je zo
Het kan natuurlijk altijd gebeuren dat je je wachtwoord van je account vergeet, zeker als je geen password manager gebruikt. Vaak is er geen vuiltje aan de lucht. Op het inlogscherm van de online dienst is een link opgenomen waar je op kunt klikken of drukken waarmee je je wachtwoord opnieuw kunt instellen. Hier vul je je e-mailadres in en dan ontvang je binnen enkele minuten een e-mail met daarin de mogelijkheid om je wachtwoord te resetten.
Het password reset formulier is een veilige en beproefde methode om je wachtwoord te wijzigen als je deze bent vergeten. Degene die het e-mailadres beheert, is veelal de enige die toegang heeft tot dit adres. In principe is hij dus de enige die in staat is om het wachtwoord te veranderen. Super veilig zou je zeggen, toch?
Password reset token eenvoudig te stelen via webbrowser
Het password reset formulier van Grindr verstuurt bij een aanvraag een zogeheten password reset token mee. Deze token of sleutel heb je nodig om een wachtwoord aan te passen: zonder token wordt de wachtwoordreset niet geautoriseerd. Deze behoort naar het opgegeven e-mailadres verstuurd te worden, zodat alleen de eigenaar hiermee aan de slag kan. Tegelijkertijd wordt hiermee de identiteit van de aanvrager bevestigd.
Een beveiligingsexpert ontdekte dat het bij Grindr niet helemaal ging zoals het hoort te gaan. Hij zag dat de password reset token via de broncode van de pagina was te achterhalen. Deze werd via de webbrowser gecommuniceerd. Het is dan een kwestie van op F12 drukken, de reset token zoeken en deze kopiëren en plakken in de URL om het wachtwoord in te stellen. Hierdoor is het mogelijk om het account van iedere gebruiker over te nemen. Het enige dat je nodig hebt is zijn of haar e-mailadres.
Als het account eenmaal was overgenomen, lag alle persoonlijke informatie van de gebruiker binnen handbereik. Denk aan naam, leeftijd, gewicht, etniciteit, relatiestatus en foto’s, maar ook bijvoorbeeld HIV-status en seksuele geaardheid.
Na een beetje aandringen dichtte Grindr het lek
De man die het beveiligingslek opspoorde, meldde het direct bij Grindr. Het bedrijf zei ermee aan de slag te gaan, maar vervolgens vernam de melder helemaal niets meer. Hij besloot om contact op te nemen met Troy Hunt en alle details met hem te delen over het lek. De Australische beveiligingsdeskundige probeerde via Twitter contact op te nemen met Grindr.
Hunt, bekend van de website Haveibeenpwned.com, is een bekende securityspecialist met bijna 170.000 volgers op Twitter. Als hij hardop roept dat een site of bedrijf een beveiligingslek heeft, dan pikken de media dat vaak op. Evenals de bedrijven in kwestie. En inderdaad, binnen een mum van tijd was het beveiligingslek bij Grindr opgelost.
In een reactie laat Grindr weten blij te zijn dat de securityexperts het beveiligingslek hebben aangekaart. Om de beveiliging verder op te schroeven, gaat het bedrijf in zee met een ‘toonaangevende beveiligingsfirma’. Daarnaast gaat Grindr een nieuw bug bounty programma lanceren waar men dit soort beveiligingslekken kunnen doorgeven.
Grindr springt niet altijd voorzichtig om met privacy
Grindr is een dating-app die zich zozeer richt op hetero’s, maar op lesbiennes, homoseksuelen, biseksuelen, transgenders, interseksen en queers (de LHBTIQ-gemeenschap). Dit is over het algemeen niet een onderwerp dat je zomaar aansnijdt als je in de kroeg zit of aan het borrelen bent op een feestje. Seksuele geaardheid en oriëntatie is voor de meesten een gevoelig onderwerp dat ze privé houden en niet aan de grote klok willen hangen. Zeker als je nagaat dat er in sommige landen zware straffen worden opgelegd als ze erachter komen dat je homoseksueel bent.
Er was dan ook grote consternatie toen in 2018 naar buiten kwam dat Grindr persoonlijke gegevens van zijn gebruikers deelt met derden. Ter verdediging zei topman Scott Chen dat deze gegevens niet worden verkocht aan adverteerders om geld mee te verdienen. In plaats daarvan werd deze informatie doorgespeeld aan partijen om, naar eigen zeggen, de dienstverlening van dating-app te verbeteren. Hoe je het ook went of keert, het blijft een ernstige inbreuk op de privacy van gebruikers.
