Een beveiligingslek in Grindr, een populaire datingapp binnen de lhbtq-gemeenschap, zorgde ervoor dat accounts gemakkelijk overgenomen konden worden door het wachtwoord te wijzigen. Hiervoor was slechts het e-mailadres nodig dat gekoppeld is aan het account, maakte veiligheidsonderzoeker Troy Hunt bekend.
Bij het opnieuw instellen van het wachtwoord, werd er een bericht teruggestuurd naar de webbrowser met de sleutel erin verborgen. In theorie was het mogelijk om deze sleutel via de broncode te kopiëren en plakken in een URL voor het opnieuw instellen van het wachtwoord, waardoor een account overgenomen kon worden.
Zo waren complete accounts toegankelijk: profiel (mogelijk inclusief hiv-status), berichten en foto’s. Na het ontdekken en melden van deze lek, ondernam Grindr niet direct actie. Pas toen security-onderzoeker Troy Hunt er aandacht aan besteedde, werd de lek opgelost.
Grindr laat weten een vooraanstaand securitybedrijf in te schakelen. Ook komt het bedrijf met een programma waarin onderzoekers beloond kunnen worden voor het melden van dergelijke lekken.
