पासवर्ड रीसेट फीचर से Grindr अकाउंट हैक करना

• Grindr दुनिया का सबसे बड़ा GBTQ SNS है, इसलिए साइन-अप अपने आप में एक महत्वपूर्ण व्यक्तिगत गोपनीयता मुद्दा है

• पासवर्ड रीसेट पेज की डिज़ाइन खामी के कारण, सिर्फ किसी दूसरे व्यक्ति का ईमेल पता जानकर उसका पासवर्ड रीसेट करके लॉगिन करना संभव था

→ रीसेट अनुरोध के समय रीसेट key को web developer tools में देखा जा सकता था। इससे कोई भी रीसेट कर सकता था

→ इसी तरीके से, सिर्फ किसी दूसरे व्यक्ति का ईमेल पता जानकर उसके लिए नया अकाउंट बनाना, पासवर्ड रीसेट करना और अकाउंट सेटिंग्स बदलना भी संभव था

• इसे खोजने वाले व्यक्ति ने Grindr को इसकी जानकारी दी, लेकिन कोई प्रतिक्रिया नहीं मिली, इसलिए उसने Troy Hunt को बताया

→ Troy, HIBP (Have I Been Pwned) चलाने वाले एक security expert हैं, जो व्यक्तिगत डेटा लीक होने की जानकारी देता है

• Troy द्वारा यह बात सार्वजनिक करने के बाद ही Grindr ने इस समस्या को ठीक किया और बताया कि वह Bug Bounty चलाएगा