Nykyään amerikkalaisten omistama deittisovellus Grindr on kärsinyt haavoittuvuudesta, jonka myötä tilien kaappaaminen on käynyt käden käänteessä.

Haavoittuvuuden myötä kuka tahansa, jolla oli käyttäjän sähköpostiosoite tiedossaan, pystyi vaihtamaan tämän salasanan ja kaappaamaan tilin, Engadget kirjoittaa.

Toisen käyttäjän sähköpostiosoite tuli vain syöttää Grindr:n salasanan palautussivustolle ja avata ohjelmointityökalu, jolla palautustunniste (reset token) saatiin haltuun.

Kun palautustunniste lisättiin salasanan palautussivuston url-osoitteen perään, muodostui sama osoite, jonka sovellus lähettää käyttäjän sähköpostiin salasanan vaihtoa varten. Lopuksi hakkerin tarvitsi vain syöttää haluamansa uusi salasana sivustolle ja alkaa käyttää sovellusta haluamallansa tavalla.

Tämä on ikävää, sillä sovellus sisältää arkaluontoista tietoa käyttäjistään. Grindr:n käyttäjiin kuuluu homo-, bi-, trans- ja queer-ihmisiä, ja pelkästään sovelluksen löytyminen puhelimesta voi osoittaa jotain käyttäjän seksuaalisesta suuntautumisesta, The Verge kirjoittaa.

Ranskalainen turvallisuustutkija Wassime Bouimadaghene löysi virheen ja yritti ilmoittaa siitä treffipalvelulle. Grindr ei kuitenkaan reagoinut löytöön heti. Bouimadaghene joutui ensin muutaman muun turvallisuustutkijan kanssa perustamaan valetilin ja hakkeroimaan sen osoittaakseen tietoturva-aukon olemassaolon. Tämä vakuutti Grindr:n, joka lopulta paikkasi aukon.

Tämä ei ole ensimmäinen Grindr:n tietoturvaa koskeva tapaus. Esimerkiksi vuonna 2018 sovelluksessa oli ongelmia, jotka mahdollistivat käyttäjän sijainnin hakkeroimisen.