암호 재설정 기능으로 Grindr 계정 해킹하기

- Grindr는 세계에서 가장 큰 GBTQ SNS로, 가입 자체가 중요한 개인정보 이슈
- 암호 재설정 페이지의 설계 결함으로 남의 이메일 주소만 알면 리셋하고 로긴 하는 게 가능
ㅤ→ 재설정 요청시 재설정키를 웹 개발자 도구에서 볼수 있음. 이걸로 누구나 리셋이 가능
ㅤ→ 같은 방식으로 다른 사람의 이메일 주소만 알면 그 사람의 신규 계정 생성하고 암호 재설정하고 계정설정도 가능
- 발견한 사람이 Grindr 측에다 알렸으나 대응이 없어서 Troy Hunt 에게 알린 것
ㅤ→ 트로이는 개인정보 데이터 유출여부를 알려주는 HIBP(Have I Been Pwned) 를 운영하는 보안 전문가
- 트로이가 이 내용을 공개한 뒤에야 Grindr 는 해당 내용을 수정하였고 Bug Bounty 를 진행하겠다고 알려 옴