Na hackerskom fóre sa objavili údajné záznamy používateľov aplikácie Grindr vrátane geolokačných údajov, hashovaných hesiel a profilových informácií. Grindr existenciu úniku zatiaľ nepotvrdil.
Útočník zverejnil 18 vzoriek a ponúka databázu spojenú s Grindrom za približne 400 dolárov, informoval portál Cybernews. Cena podľa bezpečnostných výskumníkov oslovených Cybernews skôr naznačuje menší alebo úzko zameraný dataset než masívny únik celej platformy. Pôvod dát zostáva nejasný: mohlo ísť o priamy prístup do systémov Grindru, o napadnuté individuálne účty alebo o dáta od tretej strany, napísal server TECHBYTE.sk.
V čase publikovania článku nebolo známe ani celkové množstvo záznamov. Cybernews uvádza, že vzorka obsahovala celé mená, dátumy narodenia, používateľské mená, bcrypt hashe hesiel, SHA256 hashované telefónne čísla, profilové popisy, geolokačné údaje, časové pečiatky účtov a informácie o zariadení. Niektoré záznamy mali siahať až do mája 2026.
Hashované heslá
Hashované heslo nie je heslo v čitateľnej podobe. Riziko však nezaniká. Útočníci môžu spúšťať offline útoky, pri ktorých systematicky skúšajú kombinácie, a ak heslo bolo slabé alebo sa opakovalo na viacerých službách, prelomiť ho nie je vylúčené. Práve geolokačné údaje v kombinácii s profilovými informáciami robia zoznamovacie aplikácie z pohľadu súkromia mimoriadne citlivým terčom: odhalenie polohy používateľa môže mať dôsledky ďaleko za hranicami samotného úniku hesla.
Grindr vo svojom centre pomoci upozorňuje, že ide o lokalizačnú aplikáciu a aj po vypnutí zobrazovania vzdialenosti sa poloha používateľa môže vypočítavať aspoň zhruba. Server odporúča vypnúť presnú lokalizáciu pre aplikáciu priamo v nastaveniach telefónu, prípadne zakázať zdieľanie polohy úplne.
Čo urobiť teraz
Používatelia, ktorí majú rovnaké heslo na viacerých službách, by ho mali zmeniť všade, kde sa opakuje. Cybernews odporúča správcu hesiel a pre každú službu jedinečné heslo. Či bol konkrétny e-mail súčasťou niektorého z evidovaných únikov, umožňuje overiť služba Have I Been Pwned na adrese haveibeenpwned.com.
Otázka, koľko záznamov databáza skutočne obsahuje a odkiaľ presne pochádza, zostáva bez odpovede. Grindr sa k prípadu verejne nevyjadril.
