Hack tài khoản Grindr qua tính năng đặt lại mật khẩu

• Grindr là mạng xã hội GBTQ lớn nhất thế giới, nên riêng việc đăng ký đã là một vấn đề lớn về quyền riêng tư

• Lỗi thiết kế ở trang đặt lại mật khẩu cho phép chỉ cần biết địa chỉ email của người khác là có thể đặt lại và đăng nhập vào tài khoản

→ Khi gửi yêu cầu đặt lại, có thể thấy khóa đặt lại trong công cụ dành cho nhà phát triển web. Với thứ này, bất kỳ ai cũng có thể đặt lại mật khẩu

→ Theo cùng cách đó, chỉ cần biết địa chỉ email của người khác là có thể tạo tài khoản mới mang tên người đó, đặt lại mật khẩu và cả cấu hình tài khoản

• Người phát hiện đã báo cho phía Grindr nhưng không nhận được phản hồi, nên đã thông báo cho Troy Hunt

→ Troy là chuyên gia bảo mật vận hành HIBP (Have I Been Pwned), dịch vụ thông báo liệu dữ liệu cá nhân có bị rò rỉ hay không

• Chỉ sau khi Troy công khai nội dung này thì Grindr mới sửa lỗi liên quan và cho biết sẽ triển khai chương trình Bug Bounty