Een beveiligingslek in Grindr, een populaire datingapp binnen de lhbti-gemeenschap, zorgde ervoor dat accounts gemakkelijk overgenomen konden worden door het wachtwoord te wijzigen. Hiervoor was slechts het e-mailadres nodig dat gekoppeld was aan het account, maakte veiligheidsonderzoeker Troy Hunt bekend.
Bij het opnieuw instellen van het wachtwoord werd er een bericht teruggestuurd naar de webbrowser met de sleutel erin verborgen. In theorie was het mogelijk om deze sleutel via de broncode te kopiëren en te plakken in een URL voor het opnieuw instellen van het wachtwoord, waardoor een account overgenomen kon worden.
Zo werden complete accounts toegankelijk: profiel (mogelijk inclusief hiv-status), berichten en foto’s. Nadat het lek ontdekt en gemeld werd, ondernam Grindr niet direct actie. Pas toen security-onderzoeker Troy Hunt er aandacht aan besteedde, werd het lek gedicht.
Grindr laat weten een vooraanstaand securitybedrijf in te schakelen. Ook komt het bedrijf met een programma waarin onderzoekers beloond kunnen worden voor het melden van dergelijke lekken.