Account-Übernahme Schwerwiegende Sicherheitslücke bei Dating-App Grindr aufgedeckt

dj

5.10.2020

Dank einer schweren Sicherheitslücke konnte jeder Grindr-Account übernommen werden.
Dank einer schweren Sicherheitslücke konnte jeder Grindr-Account übernommen werden.
Getty Images

Eine Sicherheitslücke ermöglichte die Übernahme von Grindr-Account und entblösste höchstpersönliche Daten. 

Durch eine schwere Sicherheitslücke bei der Dating-App Grindr war es jedermann möglich, das Konto eines beliebigen Nutzers zu übernehmen. Einzig die E-Mail-Adresse des Opfers musste man kennen. Grindr wird hauptsächlich von schwulen Menschen und anderen Mitgliedern der LGBTQ-Gemeinschaft genutzt.

Entdeckt wurde die Lücke vom französischen Sicherheitsforscher Wassim Bouimadaghene. Grindr ignorierte allerdings seine Hinweise und schloss die Lücke nicht. Erst nachdem sich der bekannte Sicherheitsforscher Troy Hunt sowie die Seite «TechCrunch» einschalteten, reagierten die Betreiber.

Einfach neues Passwort erstellen

Die Sicherheitslücke fand sich in der Funktion zum Zurücksetzen eines vergessenen Passwortes. Nach Eingabe der E-Mail-Adresse erschien auf der Grindr-Website eine Bestätigung, dass ein Code zum Erstellen eines neuen Passworts per E-Mail verschickt wurde. Dieser Code fand sich aber ebenso im Quelltext der Bestätigungsseite und konnte mit trivialem Aufwand ausgelesen werden.

Mit diesem Code konnte man dann auf der Grindr-Website ein neues Passwort erstellen und sich dann in der App in den Account des Opfers einloggen. Nun konnte man alle Chats sehen, die der Nutzer mit potenziellen Partnern in der App geführt hatte, inklusive allfällig verschickter Fotos. Auch Informationen zu sexuellen Vorlieben oder dem HIV-Status des gehackten Nutzers waren so für die Angreifer zugänglich. Die Lücke sei inzwischen geschlossen worden, so Grindr. Es gäbe keine Anzeichen dafür, dass sie in freier Wildbahn ausgenutzt wurde.

Verkauf von US-Behörden erzwungen

Der Vorfall ist nicht Grindrs erste Kontroverse. 2018 geriet das Unternehmen etwa unter Beschuss, weil es den HIV-Status seiner Nutzer mit anderen Firmen teilte.

Die chinesischen Eigentümer wurden Anfang des Jahres von den US-Behörden zum Verkauf von Grindr gezwungen, da Grindr-Nutzerdaten in chinesischer Hand als Risiko für die nationale Sicherheit der USA angesehen wurde. Die Desinvestition erfolgte nach dem gleichen Gesetz, das derzeit auch gegen TikTok angewendet wird.



Zurück zur Startseite