BRAZIL - 2019/04/01: In this photo illustration a Grindr logo seen displayed on a smartphone. (Photo Illustration by Rafael Henrique/SOPA Images/LightRocket via Getty Images)
交友平台上存放了不少敏感的个人数据,特别是讯息内容之类的如果外泄,后果可大可小。最近社交平台 Grindr 就被发现存在严重的保安漏洞,可以容易被强行登入,存取帐户内容。
法国保安研究员 Wassime Bouimadaghene 早前发现,如果将特定电邮输入到 Grindr 的密码重设申请表格中,这个表格会直接将重设密码所需的金钥暗地里传送至浏览器上,也就是说根本无需实际收到电邮,也能够直接使用该金钥即时更改密码,取得存取权。
除了 Bouimadaghene 之外,后来另一保安研究员也证实了问题确实存在。Grindr 方面就回应指他们相信目前问题已经修复,而没有人曾利用这个漏洞作帐户入侵。他们将会与网络保安公司合作,并提供赏金计划,希望为保安研究员提供更好的问题报告途径。Grindr 是 LGBTQ+ 群体主要使用的交友平台,因此上面有比其他交友平台更私密的内容,对于未正式出柜的用户尤甚。
