交友平台上存放了不少敏感的個人資料,特別是訊息內容之類的如果外洩,後果可大可小。最近社交平台 Grindr 就被發現存在嚴重的保安漏洞,可以容易被強行登入,存取帳戶內容。
法國保安研究員 Wassime Bouimadaghene 早前發現,如果將特定電郵輸入到 Grindr 的密碼重設申請表格中,這個表格會直接將重設密碼所需的金鑰暗地裏傳送至瀏覽器上,也就是說根本無需實際收到電郵,也能夠直接使用該金鑰即時更改密碼,取得存取權。
除了 Bouimadaghene 之外,後來另一保安研究員也證實了問題確實存在。Grindr 方面就回應指他們相信目前問題已經修復,而沒有人曾利用這個漏洞作帳戶入侵。他們將會與網絡保安公司合作,並提供賞金計劃,希望為保安研究員提供更好的問題報告途徑。Grindr 是 LGBTQ+ 群體主要使用的交友平台,因此上面有比其他交友平台更私密的內容,對於未正式出櫃的用戶尤甚。
來源:TechCrunch