Grindr wurde gehackt

Die beliebte schwule Dating-App „Grindr“ ist gehackt worden. Das berichtet die australische Zeitung „Sydney Morning Herald“ (SMH). Mindestens ein User soll seinen Account verloren haben, weil auf sein gehacktes Profil ein (verbotenes) Hardcore-Vorschaubild geladen wurde. Die Sicherheitslücke betrifft auch das Hetero-Gegenstück „Blendr“ und wurde noch nicht geschlossen.

Über eine eigene Domain, die der Hacker am 14. Juli 2011 angemeldet hat, soll es möglich gewesen sein, sich als ein beliebiger User von „Grindr“ anzumelden und dessen Profil vollständig zu übernehmen – also dessen Favoriten und Bilder zu sehen, Nachrichten zu verschicken und zu empfangen sowie die persönliche Informationen zu ändern. Nach Informationen des SMH änderten die Hacker bei mehreren australischen Usern die Profilfotos, mindestens einer verlor deshalb sogar sein Profil.

Außer dem Hacker dürften auch einige seiner Freunde in der Lage gewesen sein, dies über die erst vor wenigen Tagen geschlossene Seite zu tun. Auf dieser Seite sollen auch Userprofile und ihre Passwörter aufgelistet gewesen sein.

Dass es solche Sicherheitslücken gibt, wundert Sicherheitsexperten nicht. Der SMH zitiert einen Experten, der die Apps als „armselig programmiert“ bezeichnet. Sie würden „keine echte Sicherheit“ bieten. Dem Experten zufolge wäre es allerdings „nicht zu schwer, das zu sichern“. Derzeit benutzt „Grindr“ statt einer Username-/Passwort-Kombination eine eindeutige Zeichenfolge, einen „Hash“ zur Identifizierung. Diese Kombination hat der Hacker abgefangen, so konnte er sich als jener User einloggen, dessen Zeichenfolge er bekommen hatte.

Bei „Grindr“ selbst räumt man die Sicherheitslücke auch ein: „In den folgenden Wochen wird es ein größeres Sichereitsupdate für unsere Plattform geben“, so „Grindr“-Gründer Joel Simkhai. Ein kleineres Update soll schon „in den nächsten Tagen“ kommen, versprach er dem SMH Mitte letzter Woche.

Die Mehrzahl der „Grindr“-Nutzer weiß allerdings nichts von der Sicherheitslücke – weder auf der App selbst noch über die Social-Media-Profile von „Grindr“ wurden sie gewarnt. Lediglich im Blog auf der Website philosophiert Simkhai Mitte letzter Woche von der „Wichtigkeit der Community, ‚Grindr‘ sicher zu halten“.

Über die Lokalisierungsfunktion in Smartphones und Tabletts ermittelt „Grindr“ die aktuelle Position und zeigt dem User andere Nutzer der App, nach Entfernung aufgelistet.

Links zum Thema