據外媒TechCrunch報導，Grindr是為同性戀、雙性戀、跨性別者和queer群體提供的最大約會和社交網絡應用之一。日前，該應用修復了一個允許任何人僅通過電子郵件地址劫持和控制任何用戶賬號的安全漏洞。法國安全研究員Wassime Bouimadaghene發現了這個漏洞並向Grindr報告了這個問題。當他沒有得到回复時，Bouimadaghene向安全專家Troy Hunt分享了這個漏洞的細節細節。

不過該漏洞和快得到了修復。

在Scott Helme創建的一個測試賬號的幫助下，Hunt測試並確認了這個漏洞並將他的發現分享給了TechCrunch。

Bouimadaghene發現該應用在處理賬號密碼重置方面存在漏洞。

據了解，如果用戶想要重設密碼，Grindr會向其發送一封電子郵件，其中包含一個可點擊的鏈接–當中有一個賬號密碼重設令牌。一旦被點擊，用戶就可以更改密碼並被允許回到他們的賬號。

但Bouimadaghene發現Grindr的密碼重置頁面會將密碼重置令牌洩露給瀏覽器。這意味著，任何知道用戶註冊電子郵件地址的人都可以觸發密碼重置並從瀏覽器中收集密碼重置令牌–如果他們知道去哪裡查找的話。

惡意用戶可以重新設置賬號所有者的密碼並獲得他們的賬號及其存儲的個人數據–包括賬戶照片、信息、性取向、艾滋病狀況和最後一次檢測日期等。

Grindr CEO Rick Marini在一份提供給TechCrunch的聲明中指出：“我們感謝發現漏洞的研究人員。報告的問題已經得到修復。值得慶幸的是，我們相信在這個問題被任何惡意分子利用之前已經被解決。”

另外他繼續說道：“我們致力於改善我們服務的安全性，為此我們正在跟一家領先的安全公司合作以簡化和提高安全研究人員報告此類問題的能力。此外，我們將很快宣布一個新的漏洞獎勵計劃，它將為研究人員提供額外的獎勵以幫助我們保持我們的服務安全向前發展。”

據悉，Grindr目前擁有約有2700萬名用戶，每天約有300萬名用戶在使用該應用。