パスワード再設定機能でGrindrアカウントをハッキングする
(troyhunt.com)-
Grindrは世界最大級のGBTQ SNSであり、登録そのものが重要な個人情報の問題になりうる
-
パスワード再設定ページの設計上の欠陥により、他人のメールアドレスさえ分かればリセットしてログインすることが可能
→ 再設定をリクエストすると、再設定キーをWeb開発者ツールで確認できる。これにより誰でもリセットが可能
→ 同じ方法で、他人のメールアドレスさえ分かればその人の新規アカウントを作成し、パスワードを再設定し、アカウント設定まで可能
- 発見者はGrindr側に通知したが対応がなかったため、Troy Huntに知らせたもの
→ Troyは個人情報データの流出有無を知らせるHIBP(Have I Been Pwned)を運営するセキュリティ専門家
- Troyがこの内容を公開して初めて、Grindrは当該内容を修正し、Bug Bountyを実施すると知らせてきた
1件のコメント
パスワードリセット周りやアカウント関連のフローは、きちんと設計しないと大きな問題になりかねないので
こうした事例を見て、それぞれのサービスを確認してみるのがよさそうです。