Catégories
parts solar water heater

Twitter obligera les utilisateurs à supprimer les tweets en espérant que Trump meurt du COVID-19 – TechCrunch

Grindr, l’une des nombreuses applications de réseautage et de réseautage social les plus importantes au monde pour les personnes gays, bi, trans et queer, a mis en place une vulnérabilité de sécurité qui a permis à quiconque de détourner et de prendre en charge la gestion du compte de n’importe quel consommateur en utilisant exclusivement son adresse e-mail.

Wassime Bouimadaghene, un chercheur français en sécurité, a découvert la vulnérabilité et a signalé la difficulté à Grindra. Lorsqu’il n’a plus entendu, Bouimadaghene a partagé les détails de la vulnérabilité avec Troy Hunt, un expert en sécurité.

La vulnérabilité a été montée peu de temps après.

Hunt a enquêté et confirmé la vulnérabilité à l’aide d’un compte chèque qu’il avait organisé Scott Helme, et a partagé ses découvertes avec TechCrunch.

Bouimadaghene a découvert une vulnérabilité dans la manière dont l’application gère la réinitialisation du mot de passe d’un compte.

Pour réinitialiser le mot de passe, Grindr envoie à l’utilisateur un e-mail cliquable avec un lien hypertexte et contient un jeton pour réinitialiser le mot de passe du compte. Dès qu’il clique, le consommateur peut modifier le mot de passe et est autorisé à accéder à nouveau à son compte.

Cependant, Bouimadaghene a constaté que le site Web de réinitialisation de mot de passe de Grinder permet de réinitialiser les jetons de mot de passe du navigateur. Cela signifiait que n’importe qui pouvait initier une réinitialisation de mot de passe qui avait des informations sur un identifiant de courrier électronique de consommateur enregistré et obtenir un jeton de réinitialisation de mot de passe du navigateur au cas où il savait où chercher.

Les jetons secrets utilisés pour réinitialiser les mots de passe des comptes Grindr, qui auraient été envoyés exclusivement à la boîte de réception des consommateurs, ont été divulgués au navigateur. (Photo: Chasse à Troie / équipé)

Le lien hypertexte cliquable que Grindr génère pour réinitialiser le mot de passe est conçu selon une approche identique, ce qui signifie qu’un consommateur malveillant peut facilement créer son propre lien hypertexte de réinitialisation de mot de passe cliquable – un lien hypertexte identique envoyé à une boîte de réception client – à l’aide d’un jeton divulgué. pour réinitialiser le mot de passe du navigateur.

Avec ce lien hypertexte fictif, un consommateur malveillant peut réinitialiser le mot de passe du titulaire du compte et accéder à son compte et aux connaissances non publiques qui y sont stockées, ainsi qu’aux images du compte, aux messages, à l’orientation sexuelle et à la séropositivité, ainsi qu’à une date de vérification finale.

« C’est l’une des stratégies de récupération de compte les plus simples que j’ai vues », a écrit Hunt.

Avec un jeton de réinitialisation de mot de passe divulgué, un attaquant peut réinitialiser un mot de passe de consommateur, détourner son compte et entrer dans ses connaissances non publiques. (Photo: Chasse à Troie / équipé)

Dans l’annonce, le principal travailleur de Grindra, Rick Marini a déclaré TechCrunch: «Nous sommes reconnaissants envers le chercheur qui a reconnu la vulnérabilité. Le défi signalé a été fixé. Heureusement, nous avons le sentiment d’avoir réglé le problème avant qu’il ne soit exploité par un événement malveillant. « 

«Dans le cadre de notre engagement à améliorer la protection et la sécurité de notre service, nous nous associons à l’agence de sécurité numéro un pour simplifier et améliorer la flexibilité des chercheurs en sécurité pour rapporter les points qui leur conviennent. De plus, nous annoncerons bientôt un tout nouveau programme anti-bogue qui offrira des incitations supplémentaires aux chercheurs pour aider à protéger notre sécurité à l’avenir », a déclaré la société.

Grindr compte environ 27 millions de clients et environ trois millions utilisent l’application chaque jour. Plus tôt ces 12 mois, Grindr s’est vu proposer par son ancien propriétaire chinois, Beijing Kunlun, une entreprise basée à Los Angeles qui serait dirigée principalement par People, à la suite d’allégations selon lesquelles la maîtrise de la langue chinoise est un risque pour la sécurité dans tout le pays.

Au cours des 12 derniers mois, il a été rapporté que, bien que Grindr maîtrise la langue chinoise, ait permis aux ingénieurs de Pékin d’accéder aux connaissances non publiques de centaines de milliers de clients américains, ainsi qu’à leurs messages non publics et à leur statut VIH.


Vous pouvez envoyer des suggestions en toute sécurité via Sign et WhatsApp au + 1646-755-8849 ou par e-mail crypté à: [email protected]