【網絡安全】交友平台Grindr存漏洞   密碼被輕易破解    

科技 14:15 2020/10/05

分享:

最近社交平台Grindr被發現,系統存在嚴重保安漏洞,可以容易被強行登入,存取帳戶資料內容。

現時不少人都喜歡透過社交平台結識朋友,但如果在平台透露過多敏感的個人資料,很容易被黑客有機可乘。最近有社交平台就被發現,系統存在嚴重保安漏洞,可以容易被強行登入,存取帳戶資料內容。

Google研新功能 助用戶自動清理「一次性密碼」訊息

據外媒TechCrunch報道,Grindr是一個專為同性戀、雙性戀或跨性別者而設的交友平台,不過該應用日前就修復一個嚴重安全漏洞,據悉能允許任何人僅通過電子郵件地址劫持和控制用戶的賬號。

在一般的帳戶設置中,如果用戶想要重設密碼,系統就會向其發送一封電子郵件,其中包含一個可點擊的鏈接,用戶即可重設賬號密碼。不過,法國保安研究員Wassime Bouimadaghene就發現,如果將特定電郵輸入至Grindr的密碼重設申請表格中,這個表格就會直接將重設密碼所需的金鑰,暗地傳送至瀏覽器。用戶在無需收到電郵的情況下,也能直接使用該金鑰即時更改密碼,取得存取權。

如果將特定電郵輸入至Grindr的密碼重設申請表格中,這個表格就會直接將重設密碼所需的金鑰,暗地傳送至瀏覽器。

除Bouimadaghene外,另外一名保安研究員亦同時證實問題的存在。系統的漏洞意味著,只要知道用戶的註冊電子郵件,就可以從瀏覽器中獲得重置密碼的權限。惡意用戶就可以透過重新設置賬號,獲取賬號擁有者的資料,包括其儲存的個人數據,如賬戶照片、信息、性取向和最後一次登錄日期等。

【網絡安全】美聯邦機構遭黑客入侵 被複製文件及公開數據

資科辦向港企免費提供安全資訊 推協作平台Cybersechub.hk

據悉,Grindr目前擁有逾2,700萬名用戶,每天約300萬名用戶使用。官方回應指,目前問題已經修復,強調沒有人曾利用此漏洞作帳戶入侵。而他們將會與網絡保安公司合作,並提供獎勵計劃,為研究人員提供額外的獎金,鼓勵他們提供更好的安全服務。

責任編輯:施雯雯

緊貼財經時事新聞分析,讚好hket Facebook 專版