Dating-app voor homoseksuelen laat privégegevens uitlekken

Een populaire dating-app voor homoseksuelen, Grindr, bevat grote beveiligingsproblemen. Een kwaadwillende hacker slaagde er in om privégegevens van gebruikers te stelen en publiceerde deze op een website.

Volgens de Sydney Morning Herald zijn in ieder geval 100.000 voornamelijk Australische gebruikers slachtoffer van het beveiligingsprobleem. Een hacker zou op een speciale website privégegevens van hen hebben gepubliceerd. Het is onduidelijk om wat voor gegevens het daarbij gaat. In totaal heeft de app zo'n twee miljoen gebruikers.

De hacker maakte misbruik van een beveiligingsprobleem in de app waardoor hij kon inloggen als een andere gebruiker. Daarvoor hoefde hij maar één hash-waarde te vervangen, waarna hij zichzelf als een andere gebruiker kon voordoen en privégegevens kon stelen. Daarbij ging het onder andere om foto's.

Een beveiligingsexpert stelde tegenover de Sydney Morning Herald dat de applicatie zeer matig beveiligd was en dat er nauwelijks authenticatie plaatsvond. Een door hetzelfde bedrijf ontwikkelde app voor heteroseksuelen, Blendr, zou ook kwetsbaar zijn, al is daar nog geen bewijs voor.

Grindr is bedoeld voor homoseksuelen en laat hen contact zoeken met andere gebruikers die zich in de nabije omgeving bevinden. De ceo van het bedrijf achter Grindr heeft aangegeven niet op specifieke beveiligingsproblemen te willen ingaan, maar wil wel kwijt dat er binnenkort een update wordt vrijgegeven.

Reacties (70)

BillyTheClit 22 januari 2012 12:34

Dat je dit hackt om aan te geven dat er een probleem is vind ik op zich nog ethisch.
Maar dan breng je de ontwikkelaar van de app op de hoogte en niet "iedereen".
Zelfs als de ontwikkelaar een idioot is en de problemen negeert dan publiceer je enkel data die geen mensen in gevaar brengen.
Maar met al die homohaters die er rondlopen breng je die mensen ronduit in gevaar door privédata te publiceren. Het draagt in ieder geval zwaar bij tot hun onveiligheid.
Ook de gebruikers van de hetero app kunnen toch best effe inbinden op hun foto's en privé data lijkt me. Niemand heeft er zin in om met zijn blote kont + privé gegevens voor de wolven gegooid te worden.
Dit lijkt me zo ongeveer het einde voor Grindr en Blendr.

TheCapK 22 januari 2012 12:16

Opvallend dat er toch nog zo veel slecht beveiligde sites en apps zijn. Je zou verwachten dat na alle berichten van de afgelopen manden een beetje bedrijf toch al zijn programmatuur na zou gaan om te controleren op lekken maar blijkbaar is dat te veel moeite en onderneemt men liever actie als het al te laat is.

Misschien dat bedrijven met slechte beveiliging door de overheid zouden moeten worden veroordeeld tot het betalen van een schadevergoeding per getroffen user + daarbovenop een fikse boete! Dan zorg je wel dat de boel goed beveiligd wordt!

roy-t @TheCapK • 22 januari 2012 12:34

Er zijn zoveel matige programmeurs en beveiliging is zo'n ontzettend moeilijk onderwerp dat het mij eigenlijk niet verbaast.

Als klein voorbeeld, een professor aan de RUG loofde een prijs uit (een gratis vliegles) aan zijn studenten als je een beveiligingslek op zijn site kon vinden. Deze man doet al zijn hele leven onderzoek naar information security en het was nog niemand gelukt in de afgelopen paar jaar.

Toevallig probeerde vorige jaar een student eens een andere aanvalshoek en voila er zat toch een lek in. Hij krijg zijn vliegles en de professor was er trots. Bleek dat de professor een miniem foutje had gemaakt, 2 regels code stonden in de verkeerde volgorde waar door een beveiligingscheck pas gedaan werd nadat er al 1 ding gedaan werd met de input.

En dan hebben we het nu over een webapp van waarschijnlijk maar enkele duizend LOC (lines of code) niet een wat grotere applicatie of website waar je het al snel hebt over tien tot honderdduizenden LOC.

bwerg @roy-t • 22 januari 2012 15:52

Er zijn zoveel matige programmeurs en beveiliging is zo'n ontzettend moeilijk onderwerp dat het mij eigenlijk niet verbaast.

Een aantal simpele principes die héél simpel zijn wordt al vaak niet toegepast. Zie bijvoorbeeld het hashen van wachtwoorden en het tegengaan van SQL-injectie. Daarbij heeft het weinig te maken met dat het te moeilijk is, het is gewoon dat er geen aandacht aan geschonken wordt. Als je er bij je opleiding of bedrijf nooit iets over te horen hebt gekregen, waarom zou je het dan doen? Natuurlijk heb je met het toepassen van de simpele principes nog niet meteen een veilige site/app maar vaak zijn ze nog niet eens zo ver.

bonus @TheCapK • 22 januari 2012 12:58

Ik denk dat het nagenoeg onmogelijk is om een 100% beveiliging te garanderen (zie leuk voorbeeld boven), maar ik vrees dat men op het moment al genoegen neemt met 50% en dat mag gewoon niet. Vaak is ook de druk van releasen erg hoog en dan wordt er gewoon weg slecht getest. En ja als dat al niet goed gebeurd dan is de kans groot dat het fout gaat.

Ik vraag me wel eens af of het nu allemaal "unieke" leks zijn of dat de hackers gewoon een riedel van 10 standaard fouten afwerken en helaas bij nummer 2 al beet hebben.

labtech @bonus • 22 januari 2012 13:19

Het is niet nagenoeg onmogelijk..het is onmogelijk. Automatisering is net als de echte wereld: niet is zekers, en zelfs dat niet.

bwerg @labtech • 22 januari 2012 15:55

Wel, je kan zeker dingen maken die 100% zeker werken, alleen beperk je jezelf heel erg in je mogelijkheden als je dat doet. Beveiligingsprotocollen worden al snel te complex om formeel te bewijzen.

cbravo2 @TheCapK • 22 januari 2012 14:19

Wat is een goed beveiligde site? Security bugs is 1 maar daar zit er altijd wel een van in. De vraag is wanneer ga je zien dat je platform gehacked is? Als externen je gaan mailen dat hun ssh poort gescanned wordt? Als er files getouched worden die niet in een update zitten? Als je packet-scanner af gaat? Als een legitieme gebruiker een handeling doet die hij niet mag gezien zijn credentials?

Mijn baas heeft niet zoveel geld als een bank... Dus kan hij 't minder extreem beveiligen.

Verwijderd @TheCapK • 22 januari 2012 16:04

Opvallend dat er toch nog zo veel slecht beveiligde sites en apps zijn. Je zou verwachten dat na alle berichten van de afgelopen manden een beetje bedrijf toch al zijn programmatuur na zou gaan om te controleren op lekken maar blijkbaar is dat te veel moeite en onderneemt men liever actie als het al te laat is.

Waarom zou je dat verwachten? Vergeet niet, jij en ieder ander als consument wilt zo goedkoop mogelijk producten en diensten afnemen.

Niet alleen bespaard de webwinkel of dienstverlener dan op de fysieke producten (slechtere kwaliteit als het even kan) maar ook wordt bespaard op personeel w.o. programmeurs. Tegenwoordig laten steeds meer webwinkel eigenaren hun site bouwen of onderhouden door een hobbyist of zelf maar met een beetje kennis op zak, iets in elkaar flansen. Het resultaat zie je her en der, sites die zo lek als een mandje zijn.

De consument wilt alles het liefst gratis, de webwinkel of dienstverlener wilt overleven en geld verdienen. Resultaat, er wordt grof bespaard op de verkeerde dingen. Ondertussen klaagt de consument steen en been over hun privacy maar lijken ze niet te snappen dat door de wensen van diezelfde consument, moet worden bespaard.

Misschien dat bedrijven met slechte beveiliging door de overheid zouden moeten worden veroordeeld tot het betalen van een schadevergoeding per getroffen user + daarbovenop een fikse boete! Dan zorg je wel dat de boel goed beveiligd wordt!

Ik durf te wedden dat een ongelofelijk grote hoeveelheid webwinkels en dan vooral de kleintjes (ZZP'ers) zullen verdwijnen. Door de huidige crisis zal het mij dan ook niet verbazen dat diezelfde mensen zullen aankloppen bij de sociale dienst.

Ik praat het pertinent niet goed, maar vooral in Nederland is de gun-factor ver te zoeken en gaat alles bij de consument om zelfs maar een cent qua besparing. En het dan maar gek vinden dat als de kleinere webwinkels mee gaan in de prijs, de privacy bij diezelfde kleintjes slechter is beveiligd dan bij een 'grote concurrent'.

Verwijderd 22 januari 2012 12:13

Triest zulke mensen..

Ik kan hackers wel waarderen zolang ze maar niet gaan lopen zieken.. Ik snap ook niet wat er zo leuk is aan het uitlekken van privé gegevens, ga dan bij een beveiligings bedrijf werken en verdien zo je geld.

woekele @Verwijderd • 22 januari 2012 12:17

Als niemand de gegevens ooit vrijgeeft, zullen mensen nooit leren begrijpen hoe belangrijk een goede beveiliging is. Helaas moet het kalf eerst verdrinken voor men het leert te begrijpen... "Ik heb toch niks te verbergen?!"

JT @woekele • 22 januari 2012 12:26

Ja alleen het jammere is dat je met deze gegevens zeeeeer veel mensen in de privésfeer treft. Er zijn families waar een homosexueel familielid verworpen wordt en dit werkt dat natuurlijk gigantisch in de hand. Jouw redenering van "het doel heiligt de middelen" ben ik het absoluut niet mee eens.

MClaeys @JT • 22 januari 2012 12:43

Komt daar nog eens bij dat geen enkele software 100% veilig is en de hacker ook eerst het bedrijf had kunnen inlichten voordat ze gegevens publiek zouden maken. Er is dan ook nog een verschil tussen gegevens publiek maken en echt privé gegevens publiek maken. Een gebruikersnaam is niet steeds naar een gebruiker te herleiden, een echte naam wel.

Eigenlijk zou er een systeem moeten komen dat het niet voldoende beveiligen van gegevens strafbaar is (dat is deels zo, maar nog niet voldoende). Een hacker hackt een app en/of een site en moet de verantwoordelijke verwittigen. Deze heeft even (minimum een maand ofzo) de tijd om het probleem grondig aan te pakken. Lukt het niet binnen die tijd dan mag de hacker het bedrijf aanklagen, moet het bedrijf een boete betalen (naar gelang de ernst van het lek) en krijgt de hacker een deel van dat geld.
Op die manier worden bedrijven geraakt waar ze dat het minst graag hebben, in de portefeuille + de hackers kunnen er nog wat aan verdienen als een bedrijf het toch niet ernstig neemt. De gebruikers hebben in dat ook geen last van hun gegevens die publiek gemaakt worden.

Of de hacker maakt een backup van de database, wist de online database en laat het bedrijf het lek oplossen voor ze hun backup terugkrijgen (+ een bedrag), maar dan gaat het al op afpersing lijken.

Edit: typo

[Reactie gewijzigd door MClaeys op 23 juli 2024 23:08]

labtech @MClaeys • 22 januari 2012 13:16

Eigenlijk zou er een systeem moeten komen dat het niet voldoende beveiligen van gegevens strafbaar is (dat is deels zo, maar nog niet voldoende).

Euh nee. Dat is de andere kant op redeneren. Bovendien, iets wat vandaag perfect beveiligd is, kan dat over een uur niet meer zijn (bv omdat er een lek gevonden wordt in een specifiek stukje software)

Hacken is strafbaar, en moet ook zwaar bestraft worden. Het openbaren van (prive-)gegevens is eveneens strafbaar en kan bijvoorbeeld in nederland als strafverzwaringsgrond dienen (voorzover ik weet doen we, helaas, in NL niet aan het stapelen van straffen zoals bijvoorbeeld in de VS.

En verder moeten wij IT-ers maar eens ophouden met het verheerlijken van hackers.Dat doen we bijvoorbeeld ook niet bij inbrekers. Of moeten we die ook maar dankbaar zijn voor het feit dat ze ons wijzen op een onbeveiligd WC raampje?

Tot slot ook nog iets voor de gebruikers van deze diensten: Vraag je eens af of een bepaalde dienst de gevraagde gegevens wel nodig heeft. Zo niet: GEBRUIK DIE #@!#$$#@ DIENST DAN NIET! Je gaat echt niet dood als je bijvoorbeeld smulweb niet gebruikt.

En verder: zo ver mogelijk weg blijven van cloud-diensten: dit wordt (of is) HET Hack-target van het komende decennium!

MClaeys @labtech • 22 januari 2012 15:09

Ik heb het niet over de zware hacks, ik heb het over hacks die sowieso niet zouden mogen. Het niet beveiligd opslaan van wachtwoorden => strafbaar, vatbaar voor SQLinjectie => strafbaar, ... Het klopt dat niet elk lek meteen gedicht kan worden, maar dat wil dan zeggen dat het aan de software ligt waarop het draait en dan zijn er dus plots een pak websites kwetsbaar. De beveiliging updaten van een eigen app is niet onmogelijk.
En op een datingapp lijkt het me best wel essentieel dat daar uw echte gegevens op staan, het minste wat je dan kan verwachten is dat ze goed beschermd zijn, toch?

Tuurlijk moeten hackers bestraft worden, maar er is een groot verschil tussen een white hat hacker die het puur doet om de beveiliging aan te kaarten en de maker waarschuwt en de black hat die schade wil berokkenen door gegevens openbaar te maken. De tijden dat iedereen zijn deur zonder angst open kon laten staan is jammer genoeg al een even voorbij

@RubieV
De service hoeft er toch niet met op te houden? Ze kunnen het lek dichten (zonder schrik te moeten hebben voor een openbaring van gegevens) en doorgaan met hun activiteiten.
Verder heb ik liever een service die stopt en mijn gegevens wist, dan een service die blijft bestaan maar zo lek is als een zeef waardoor al mijn gegevens puur online staan

(geen idee trouwens waarom ze u off-topic raten)

[Reactie gewijzigd door MClaeys op 23 juli 2024 23:08]

bwerg @MClaeys • 22 januari 2012 15:42

vatbaar voor SQLinjectie => strafbaar

Met de kleine nuancering dat het ook wel van belang is welke data erachter ligt natuurlijk. Iemand van 12 die net zijn eerste site bouwt zal daar misschien nog niet tegen beveiligd zijn, maar daar zal dan ook geen gevoelige data liggen.

Maar zodra je accounts met wachtwoord en een e-mailadres opslaat, is dat al zeer gevoelig en dient dat beveiligd te worden. Worden die gegevens namelijk bekend, dan kan daarmee een deel van die e-mail-accounts gehackt worden.

bwerg @labtech • 22 januari 2012 15:33

Euh nee. Dat is de andere kant op redeneren. Bovendien, iets wat vandaag perfect beveiligd is, kan dat over een uur niet meer zijn (bv omdat er een lek gevonden wordt in een specifiek stukje software)

Pardon? Als jij je geld op de bank zet, en laten dat geld gewoon op straat liggen waarna jouw geld wordt gejat, dan is de bank zéér nalatig ten koste van jou, de "gebruiker". Als je een bedrijf geld of gegevens toevertrouwd dan mag je best van ze eisen dat ze daar op een voorzichtige manier mee omgaan. Je maakt ter goeder trouw een profiel bij ze aan en door een gebrekkige beveiliging (een fout van hun kant) kan je daar zeer veel schade van ondervinden. Dat dat strafbaar stellen "de andere kant op redeneren" is is kortzichtig en eenzijdig.

Ja, een bedrijf kan er niet altijd iets aan doen (zero-day exploits in een OS waarop de server draait of zo) maar doorgaans zijn de beheerders van de gegevens gewoon laks en/of onkundig in het beveiligen van deze (privacygevoelige) gegevens. Daarom zegt hij ook "niet voldoende beveiligen". De meeste hacks die hier op T.net genoemd worden zijn voorbeelden van totaal mislukte of afwezige beveiliging, geen zero-day exploit.

[Reactie gewijzigd door bwerg op 23 juli 2024 23:08]

cbravo2 @labtech • 22 januari 2012 14:07

een paar simpele dingen kan je toch wel eisen:
-worden updates op het OS maximaal X dagen later toegepast
-worden updates op onderdelen van de overige software maximaal Y dagen later toegepast
-worden alle security bugs binnen periode Z opgelost
-zijn allerlei admin tools niet extern aangeboden (bijv. dmv. firewall)
-...

Want in de huidige tijd kan je 0,0 eisen mbt beveiliging.

Op dit moment is het zo dat mijn baas de afweging maakt: feature of non-visible-security-bug. Bij simpele security bugs wil hij snel overstag maar bij iets complexere moet ik veel langer wachten.

iMispel @cbravo2 • 22 januari 2012 14:26

Ik denk dat je de belangrijkste nog vergeet: Wordt jouw wachtwoord gehashd opgeslagen? Het zou niet mogen, maar in deze tijden zijn nog heel veel mensen die het zelfde wachtwoord gebruiken om zich ergens te registreren als hun email wachtwoord. Als de database dan op straat komt te liggen... ik hoef er geen tekening bij te maken....

BTW: Ik wil hier niet per sé de alternatieve IPS's (belgië) door het slijk halen maar dommel en EDP slaan hun wachtwoorden dus in plain text op! Gebruik zelf trouwens EDPnet en heb die mannen er op aangesproken, met als antwoord: "Maak u niet ongerust meneer, uw gegevens zijn goed beveiligd". Hun site heeft niet eens SSL. Wat mij betreft moet het gehashd opslaan van wachtwoorden zo snel mogelijk verplicht worden, maar ja, blijven hopen zeker...

aikebah @labtech • 22 januari 2012 17:03

We moeten als IT-ers de hackers blijven verheerlijken, maar het wordt hoog tijd dat we weer terugkeren naar de juiste terminologie en crackers niet langer hackers blijven noemen.

Verwijderd @labtech • 23 januari 2012 02:00

"Bovendien, iets wat vandaagperfect beveiligd is, kan dat over een uur niet meer zijn (bv omdat er een lek gevonden wordt in een specifiek stukje software)"

Nou ben ik wel benieuwd naar jouw definitie van "perfect beveiligd."

Cartman!

@Verwijderd • 24 januari 2012 09:35

Hij geeft daarmee zelf dus al aan dat dit niet bestaat maak ik eruit op

Verwijderd @MClaeys • 22 januari 2012 12:59

Maar dan zijn de gebruikers toch de dupe als de service er mee ophoud?

Verwijderd @woekele • 22 januari 2012 15:02

Echte pure onzin, je kan veel slimmer werken dan door gewoon wat gegevens op internet neerknallen. Contact opzoeken met een journalist die vertrouwelijk omgaat met deze gegevens levert al 100x meer op dan dit.

Verder verbaasde het mij wel dat er 100.000 homo's zijn in Aussie, tot ik las dat er iets van 23 milj inwoners zijn.

churchill9 @Verwijderd • 23 januari 2012 08:36

Hoezo verbaas jij je? Dat dat er veel of weinig zijn?

En die 100.000 zijn alleen nog de homo's met deze app er zullen er wel meer zijn.

Zoijar @woekele • 22 januari 2012 12:47

Je hoeft het niet meteen allemaal vrij te geven. Heeft hij eerst contact gezocht met het bedrijf en de situatie uitgelegd? Had hij niet bepaalde data zoals de achternamen weg kunnen laten? Gewoon alles openbaarmaken is niet een nobele hacker die een lek aantoont; dat is gewoon iemand die strafbaar bezig is en om aandacht schreeuwt.

i-chat @Zoijar • 22 januari 2012 13:02

true het is een ziellig ziek hackertje, maar wil je nu echt het bedrijf vrijpleiten, uit pure winstbejag brengen ze honderduizende mensen in verlegenheid of zelfs in gevaar.... en dat is zomaar oke?

Zoijar @i-chat • 22 januari 2012 13:17

Nee. In de wet bescherming persoonsgegevens staat volgens mij ook dat je persoonsgegeven moet beveiligen. Weet niet precies hoe het verder zit, maar ik kan me voorstellen dat het bedrijf een soort van class action suit voor nalatigheid staat te wachten.

labtech @i-chat • 22 januari 2012 13:18

Oh, heeft dat bedrijf dat gedaan? Ik dacht toch gelezen te hebben dat de hacker die gegevens geopenbaard heeft.

bwerg @labtech • 22 januari 2012 15:46

Ja, door geen aandacht te schenken aan de beveiliging van gevoelige data kun je ze wel als medeverantwoordelijk zien. Ze nemen zo gewoon het risico dat deze gegevens gestolen en openbaar gemaakt worden, en ze nemen dus ook het risico op alle gevolgen die hun klanten daardoor ondervinden.

houseparty @woekele • 22 januari 2012 13:22

Als niemand de gegevens ooit vrijgeeft, zullen mensen nooit leren begrijpen hoe belangrijk een goede beveiliging is. Helaas moet het kalf eerst verdrinken voor men het leert te begrijpen... "Ik heb toch niks te verbergen?!"

Je kunt in dat kader ook gegevens lekken met belangrijke privégevoelige gegevens zoals achternamen en e-mailadressen weggefilterd. Dan kun je zeggen: hey, je hebt een lek, kijk maar wat er mee kan gebeuren, maar ik ben ter goeder trouw. Dan nog hoor je als dat je bedoeling is éérst contact op te nemen met de getroffen database beheerder, om hun aan te sporen de beveiliging op te voeren.

Wat deze hacker doet is gewoon laten zien dat het kan.
Mogelijk zelfs ten behoeve van afpersing. Als je niet betaalt worden de gegevens uit je database gepubliceerd. En als de hacker over gaat tot publiceren heeft dat direct invloed op de welwillendheid te betalen van volgende slachtoffers.

Verwijderd @woekele • 22 januari 2012 13:27

Als niemand de gegevens ooit vrijgeeft, zullen mensen nooit leren begrijpen hoe belangrijk een goede beveiliging is. Helaas moet het kalf eerst verdrinken voor men het leert te begrijpen... "Ik heb toch niks te verbergen?!"

Dus moet je mensen die daar niks aan kunnen doen (en ook een enigsinds kwetsbare groep zijn) daar maar als middel voor gebruiken ?

Publiceren van deze gegevens was totaal overbodig. Hij had ook naar de pers kunnen stappen en die hadden de goede naam van die site dan wel door het slijk gehaald zonder dat er ook maar een gebruiker daar door persoonlijk benadeelt zou worden.

Overigens zie ik in je profiel dat je zelf betrokken bent bij een online endavour ( http://www.urbanterror.info/ ) die de volgende statement maakt met betrekking tot security:

Because the Urban Terror Authentication requires a strict security, we can't use open source codes for its website. So, a totally new CMS was coded from scratch

Als security through obscurity de norm is.....

Grrrrrene

@woekele • 23 januari 2012 09:23

Dat lijkt me wat overdreven. Het correcte stappenplan lijkt me als volgt:

1. Hack de site en rapporteer dit aan de systeembeheerder van de site. Bij positieve reactie ("We gaan ermee bezig zodat het lek gedicht wordt") laat je het daarbij of doe je na het dichten van het lek een melding richting de media dat er een lek _was_. Als de site niet of niet adequaat reageert, ga je naar stap 2:
2. Je contacteert een nieuwssite en demonstreert hoe je de site gehackt hebt. De nieuws-website publiceert hier een nieuwsbericht over, website komt negatief in het nieuws en is daardoor gedwongen er toch nog wat aan te doen of verliest klanten.

Punt 2 lijkt me reden genoeg voor dit soort websites om wat te doen aan beveiligingslekken en tevens reden genoeg voor een hacker om geen gegevens te gaan lekken.

Dreanor @woekele • 22 januari 2012 12:48

Klopt, maar op dit moment zijn het de "moraal" hackers die het "goed bedoelen" degene die steeds privé gegevens lekken.

Dus wat klopt er niet in dat plaatje???

[Remmes] @Dreanor • 22 januari 2012 13:16

we weten niets over de hacker.. misschien heeft deze hacker al wel een mail gestuurd maar kreeg geen gehoor.. dat soort bedrijven heb je ook nog.. die doen echt neits totdat je gaat dreigen of gegevens online zet...... want dan MOETEN ze wel, maar als dat niet gebeurd doen ze echt geen reet en boeit het ze ook vrij weinig lijkt het

Katerin @[Remmes] • 22 januari 2012 13:58

Dan is er alsnog een keus in welke gegevens je gaat lekken..
Als je hackt omdat je het een kwalijke zaak noemt dat de gegevens zo makkelijk te verkrijgen zijn moet je ook niet diezelfde gegevens openbaar gooien.

indigo79 @[Remmes] • 22 januari 2012 14:43

Dan kan je nog een journalist een mail sturen met een beperkt bewijs... Bar slecht excuus om als een bedrijf niets doet de klanten te treffen.

[Remmes] @indigo79 • 22 januari 2012 14:57

wat slecht is, is de beveiliging van de app

Verwijderd @[Remmes] • 22 januari 2012 15:51

Wel of geen reactie, de hacker heeft geen enkel recht om privé gegevens te openbaren ... als hij een beetje normen, waarden en fatsoen had gehad ... had hij hier respect voor gehad. Nu laat hij op mij over komen dat hij niet alleen tegen de gaten in de app en dus de site is, maar ook tegen homo's door ze publiekelijk aan de schandpaal te hangen.

Ik had zelf op zijn minst een mooie tool geschreven waarbij ik alle leden met hun eigen gegevens via e-mail had kunnen confronteren die bekend zijn door een lek in de door hen gebruikte app. Geen die hier dan de dupé is, is het bedrijf in kwestie en niet de homo's die nu tevens publiekelijk aan de schandpaal worden genageld.

Als een dergelijke hacker lef heeft, publiceert hij te samen met die gegevens ook zijn eigen gegevens (adres) zodat mogelijke slachtoffers verhaal kunnen halen - waarbij ik zeker weet dat het niet bij een verhaal blijft. Nu is het niets meer of minder dan een laffe daad!

Yoshi @woekele • 22 januari 2012 12:37

oh, ik ben benieuwd of je ook zo reageert als je visa-ideal etc etc gegevens vrijkomen... of iets uit je verleden dat je angstvalling verborgen houd voor je vrouw...

flippy @Yoshi • 22 januari 2012 12:43

Dan moet je vrouw in kwestie wel eerst op die site gaan kijken en dat doen ze alleen als er aanleiding voor is...

freaq @flippy • 22 januari 2012 12:52

of als een vriendin dat heeft gedaan...
maar je baas zou het ook kunnen checken, het gaat niet om of je er van in de problemen komt, het kan zijn dat een groot aantal dat wel gaat gebeueren, de meeste niet, maar aangezien het over duizenden mensen gaat kunnen we ervanuit gaan dat het zowieso een aantal in de problemen zal brengen...

[Remmes] @Yoshi • 22 januari 2012 13:14

als je iets verborgen houd voor je vrouw dan ben je gewoon niet eerlijk, dus als zoiets boven tafel komt is het gewoon je eigen schuld..

rare vergelijking dus...

maar goed, ik persoonlijk vind dating apps en sites toch al niks.. en dan ook al die reclames op tv/ internet... schijt hekel aan

een site/app die gegevens heeft van veel personen moet gewoon goed beveiligd zijn

Ahrnuld @[Remmes] • 22 januari 2012 15:11

Eens, het gaat hier niet om 'je vrouw', het gaat bij dit soort incidenten (en privacy in het algemeen) ook meestal niet om je naasten, maar om dat deel van de wereld dat jouw acties/gedachten niet accepteert.

En tegenwoordig met het wereldwijde internet en de cultuurverschillen is er altijd wel een grote groep mensen die je gaat benadelen als ze iets over je weten dat enigszins als gevoelige informatie kan worden opgevat. 90% van wat datingsites vastleggen kan daaronder vallen.

Je kunt het gewoon nooit goed doen. Mensen die zeggen niks te verbergen te hebben bewegen blijkbaar in een zeer kleine kring als ze dat nog niet doorhebben

pim @Verwijderd • 23 januari 2012 06:19

En toch zijn dit soort hackers nodig, zodat consumenten bewust zijn van het feit dat je gegevens nergens 100% veilig zijn..

Verwijderd 22 januari 2012 12:16

Die zijn opeens wel allemaal uit de kast, zeg maar...

Achterlijk dat de gegevens gepubliceerd zijn. Als de hacker slim was geweest, had hij een financiële regeling getroffen met Grindr. Gratis had natuurlijk ook gekund.

Jammer weer, komen de hackers weer in een slecht daglicht te staan, waar velen het wél goed bedoelen.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 23:08]

Bartjebart @Verwijderd • 22 januari 2012 12:39

"...had hij een financiële regeling getroffen"

Dus met goede bedoelingen bedoel jij chantage?
Uit goede bedoelingen aan willen tonen dat gegevens niet goed beveiligd zijn; prima. Maar als je dan op wat voor manier dan ook er zelf je slaatje uit probeert te slaan ben je toch echt niet met goede bedoelingen bezig.

Verwijderd @Bartjebart • 22 januari 2012 13:23

Een beetje relativeringsvermogen zou op zijn plaats zijn.

Ik schrijf ook nergens dat ik het aanmoedig om het met een financiële regeling op te lossen. Een gratis "hé, je app is lek" is uiteraard gewenst. Helaas zijn niet alle hackers zo. Verder zie ik niet in waarom dat hij er geen bedrag voor mag vragen om het lek aan te duiden, en in het beste geval zelf het lek te dichten.

Nogmaals, geld vragen is niet met goede bedoelingen, maar het is nog steeds beter dan ongevraagd gegevens op straat gooien.

Zer0 @Verwijderd • 22 januari 2012 12:43

Als de hacker slim was geweest, had hij een financiële regeling getroffen met Grindr

Afpersing noemen we dat....

Jammer weer, komen de hackers weer in een slecht daglicht te staan, waar velen het wél goed bedoelen.

Dat is redelijk normaal, kijk naar voetbalfans, de meerderheid zin gewoon normale aardige burgers, het is maar een klein deel wat de boel verziekt voor de rest. Hetzelfde zie je bij hackers.

Part 22 januari 2012 12:16

Aantonen dat de beveiliging niet goed is, prima.
Maar waarom alle gegevens publiceren? Dat is nergens voor nodig. Je kan ook op een andere manier aantonen dat je de gegevens kan bemachtigen zonder alles direct online te gooien.

VicVD 22 januari 2012 12:18

wat een slechte zaak zeg, altijd opletten waar je je privé gegevens achterlaat!

kan de beheerder van de website btw strafbaar worden gesteld?

Jorn1986 22 januari 2012 12:18

Daarbij in gedachten nemende dat er wel vaak in het nieuws is geweest dat in sommige grote steden in Nederland bepaalde homo-stellen of lesbische stellen zijn weggepest uit bepaalde wijken, vindt ik het maar link om al die privé-gegevens op straat te hebben liggen...
Ik denk niet dat in Australië het veel anders is in bepaalde wijken als in Nederland.

Hopelijk krijgen deze homo's en lesbo's niet te maken met bovenstaande ''terreur'' dankzij deze hacker.

Thalaron 22 januari 2012 13:28

Ook echt typisch... Hackers als deze verdienen levenslang in mijn ogen.

Je hackt X... En omdat je jezelf vindt dat X maar niet te hacken mocht zijn omdat er prive gegevens daardoor in gevaar komen, post je ze zelf maar voordat een ander het kan doen!...

Zo van... ik zie een meisje een steegje inlopen... oeh! Dat is gevaarlijk... zo wordt je nog ooit eens verkracht meisje!! Dus om je punt te maken trek je je broek omlaag ipv. dat je haar waarschuwd voor het gevaar

Edit:

Indien er mede door deze hack mensen gewond raken (of erger) de hacker mede verantwoordelijk houden!

[Reactie gewijzigd door Thalaron op 23 juli 2024 23:08]

Verwijderd 22 januari 2012 15:13

Nu weten wij gelijk waar half bekend Nederland woont, alsof je daar op zit te wachten

OT: niet zo raar dit bericht, hacken is het nieuw "bank overvallen" heb ik het idee..."cybercrime department of defense" is er ook niet voor niks in het leven geroepen. Er is een duidelijke shift merkbaar van fysieke terreur naar digitale terreur, deze app-hack is eigenlijk nog maar een kruimeldief, wat mij betreft.

verleemen 22 januari 2012 20:03

Ik begrijp niet wat er nou aan grindr te hacken is, Als je wil weten wie er in je buurt homo is hoef je alleen maar in te loggen en je krijgt ze met foto en al geserveerd. Dat is nou juist de hele opzet van de app.

Op dit item kan niet meer gereageerd worden.

Dating-app voor homoseksuelen laat privégegevens uitlekken

Lees meer

Reacties (70)

Sorteer op:

Weergave: