Grindr-deittisovelluksessa tietoturvaongelma - käyttäjätilin kaappaamiseen riitti sähköpostiosoitteen tietäminen

  • Uutinen
  • Viihde, kulttuuri ja media
  • Sami Mollgren

Aiemminkin tietoturva- ja tietosuojaongelmien kanssa painineessa Grindr-deittisovelluksessa oli jälleen haavoittuvuus. Tietoturva-aukko mahdollisti käyttäjätilin kaappaamisen.

Asiasta kirjoittavat esimerkiksi The Verge, Engadget ja Suomessa Markkinointi & Mainonta.

Tilin kaappaaminen onnistui käyttämällä "unohtunut salasana" -toimintoa ja tutkimalla sivua selaimessa olevalla kehittäjätyökalulla, kun vain tiesi tai arvasi käyttäjän sähköpostiosoitteen. Työkalu paljasti sähköpostiin lähetettäväksi tarkoitetun merkkijonon, joka linkissä mahdollistaa salasanan uudelleenasettamisen. Pahantahtoinen käyttäjä olisi voinut poimia kyseisen merkkijonon, päästä vaihtamaan salasanan haluamakseen ja saada siten tilin haltuunsa. 

Tilin kaappaaminen on sen oikealle omistajalle harmillista jo siksi, että menettää mahdollisuuden käyttää tiliään. Huolestuttavampaa on, että tilin kaapannut pääsee käsiksi käyttäjän henkilökohtaiseen ja arkaluontoisiinkin tietoihin. 

Tietoturvahaavoittuvuuden löysi ranskalainen tietoturvallisuustutkija Wassime Bouimadaghene. Hän koetti ilmoittaa siitä Grinderille, joka ei kuitenkaan reagoinut asiaan. Grindr vakuuttui ongelman olemassaolosta vasta, kun Bouimadaghene ammattikollegoidensa kanssa avasi käyttäjätilin ja osoittivat, miten se oli mahdollista hakkeroida. Tämän jälkeen Grindr paikkasi haavoittuvuuden.

Vuonna 2018 kävi ilmi, että Grindr oli jakanut käyttäjiä koskevia henkilökohtaisia tietoja analytiikkayhtiöille. Alkuvuodesta 2020 selvisi, että Grinder joidenkin muiden vastaavanlaisten palvelujen lailla jakoi muiden muassa käyttäjän sijaintitietoa yhteistyökumppaneilleen.

Kommentoi jutun aihetta

Sinun tulee kirjautua sisään voidaksesi aloittaa uuden keskustelun

Ei vielä tunnusta? Liity nyt!