# 암호 재설정 기능으로 Grindr 계정 해킹하기

> Clean Markdown view of GeekNews topic #2956. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=2956](https://news.hada.io/topic?id=2956)
- GeekNews Markdown: [https://news.hada.io/topic/2956.md](https://news.hada.io/topic/2956.md)
- Type: news
- Author: [xguru](https://news.hada.io/@xguru)
- Published: 2020-10-04T13:49:55+09:00
- Updated: 2020-10-04T13:49:55+09:00
- Original source: [troyhunt.com](https://www.troyhunt.com/hacking-grindr-accounts-with-copy-and-paste/)
- Points: 3
- Comments: 1

## Topic Body

- Grindr는 세계에서 가장 큰 GBTQ SNS로, 가입 자체가 중요한 개인정보 이슈

- 암호 재설정 페이지의 설계 결함으로 남의 이메일 주소만 알면 리셋하고 로긴 하는 게 가능

ㅤ→ 재설정 요청시 재설정키를 웹 개발자 도구에서 볼수 있음. 이걸로 누구나 리셋이 가능

ㅤ→ 같은 방식으로 다른 사람의 이메일 주소만 알면 그 사람의 신규 계정 생성하고 암호 재설정하고 계정설정도 가능

- 발견한 사람이 Grindr 측에다 알렸으나 대응이 없어서 Troy Hunt 에게 알린 것

ㅤ→ 트로이는 개인정보 데이터 유출여부를 알려주는 HIBP(Have I Been Pwned) 를 운영하는 보안 전문가

- 트로이가 이 내용을 공개한 뒤에야 Grindr 는 해당 내용을 수정하였고 Bug Bounty 를 진행하겠다고 알려 옴

## Comments



### Comment 3055

- Author: xguru
- Created: 2020-10-04T13:52:36+09:00
- Points: 1

암호 리셋쪽 및 계정 관련 플로우는 제대로 설계하지 않으면 큰일이 날 수도 있어서

이런 사례를 보고 각자의 서비스를 확인해보는게 좋을듯 합니다.