암호 재설정 기능으로 Grindr 계정 해킹하기
(troyhunt.com)- Grindr는 세계에서 가장 큰 GBTQ SNS로, 가입 자체가 중요한 개인정보 이슈
- 암호 재설정 페이지의 설계 결함으로 남의 이메일 주소만 알면 리셋하고 로긴 하는 게 가능
ㅤ→ 재설정 요청시 재설정키를 웹 개발자 도구에서 볼수 있음. 이걸로 누구나 리셋이 가능
ㅤ→ 같은 방식으로 다른 사람의 이메일 주소만 알면 그 사람의 신규 계정 생성하고 암호 재설정하고 계정설정도 가능
- 발견한 사람이 Grindr 측에다 알렸으나 대응이 없어서 Troy Hunt 에게 알린 것
ㅤ→ 트로이는 개인정보 데이터 유출여부를 알려주는 HIBP(Have I Been Pwned) 를 운영하는 보안 전문가
- 트로이가 이 내용을 공개한 뒤에야 Grindr 는 해당 내용을 수정하였고 Bug Bounty 를 진행하겠다고 알려 옴
암호 리셋쪽 및 계정 관련 플로우는 제대로 설계하지 않으면 큰일이 날 수도 있어서
이런 사례를 보고 각자의 서비스를 확인해보는게 좋을듯 합니다.