Die Datingplattform Grindr hatte eine extrem schwerwiegende  Sicherheitslücke. Der IT-Sicherheitsspezialist Troy Hunt berichtete, dass man das Reset-Token für die Funktion zur Wiederherstellung von Passwörtern recht einfach auslesen konnte.

Zunächst ignorierte Grindr  den Versuch eines  Sicherheitsforschers, das Problem zu melden. Nach eigenen Angaben ist Grindr die größte Datingplattform für Schwule, Bi- und Transsexuelle sowie queere Menschen.

Diese Sicherheitslücke war extrem einach auszunutzen: Forderte man einen Passwort-Reset, wurde im Browser eine HTTP-Anfrage ausgelöst, in deren Antwort das Passwort-Reset-Token mitgeliefert wurde.

Das Reset-Token konnte man zum Beispiel über die Developer-Tools auslesen und dann damit eine URL zusammensetzen, über die man das Passwort dann neu setzen konnte – und schon war man der Herscher über einen fremden Account.

Passwort fremder Accounts einfach neu setzen

Man konnte also zu einer beliebigen Mailadresse, zu der es einen Grindr-Account gab, einen Reset-Token erzeugen und damit das Passwort neu setzen. Um sich dann dort auch einzuloggen, musste man zwar noch eine Bestätigung über die Grindr-App geben, aber dort konnte man sich schon mit dem neu gesetzten Passwort einfach einloggen…

Grindr wollte es zunächst nicht wissen

Das Problem hatte der IT-Sicherheitsforscher Wassime Bouimadaghene entdeckt. Er wandte sich deshalb an den Support von Grindr, wo man ihm sagte, dass man das Problem an die Entwickler weiterleiten würde. Und danach passierte nichts mehr – auf Rückfragen antwortete Grindr auch nicht mehr.

Der Sicherheitsforscher wandte sich an Troy Hunt, der wiederum selbst versuchte, Grindr zu erreichen und der Firma auf Twitter Direktnachrichten sandte. Aber auch er erhielt keine Antwort.

Als letzten Versuch schrieb Hunt einen öffentlichen Tweet, in dem er die Frage stellte, ob irgendjemand Kontakt zum Sicherheitsteam bei Grindr habe, und erst daraufhin kam endlich ein Kontakt zustande. Danach wurde das Problem dann recht schnell behoben.

Wie man den Angriff erkennen kann

Betroffene User könnten einen solchen Angriff dadurch bemerken, dass sie eine Passwort-Reset-Mail erhalten und sich danach mit ihrem bisherigen Passwort nicht mehr einloggen könnten.

Deshalb sollten User, die Grindr nutzen und in letzter Zeit eine unerwartete Passwort-Reset-Mail erhalten haben, jetzt dringend überprüfen, ob ihr Passwort noch funktioniert…