En trusselaktør har på et lukket hackerforum lagt ut det vedkommende beskriver som en komplett brukerdatabase fra Grindr, dating- og nettverksappen rettet mot LGBTQ-miljøet. Annonsen reklamerer med over 15 millioner records og en pris på rundt 400 dollar betalt i kryptovaluta.
Påstanden er foreløpig ikke bekreftet, og sikkerhetsmiljøet maner til forsiktighet. Men selve listen over hva som angivelig ligger i datasettet er nok til at dette bør tas på alvor, særlig for en app der selve medlemskapet kan avsløre svært sensitiv informasjon om en person.
Hva som angivelig er på avveie
Det er nettopp hvilke felter som skal være med i datasettet som gjør denne saken alvorlig. Ifølge annonsen og analyser omtalt av blant andre Cybernews skal de eksponerte feltene inkludere:
- Brukernavn, visningsnavn og fullt navn
- E-postadresser
- Passord-hasher (oppgitt som bcrypt) og hashede telefonnumre
- Fødselsdato
- Kjønn og seksuell orientering
- Geolokasjon, altså posisjonsdata
- Fysiske kjennetegn
- HIV-status
- Enhetsinformasjon og kontostatus
For de fleste tjenester er en lekkasje først og fremst et passord-problem. Her er det noe annet. Kombinasjonen av e-post, posisjon, seksuell orientering og helseopplysninger som HIV-status er det personvernregelverket kaller særlige kategorier av personopplysninger. For enkelte brukere kan det å bare stå oppført i en slik database utgjøre en reell risiko, fra utpressing til trakassering, avhengig av hvor de bor og hvilken livssituasjon de er i.
Er det ekte? Det er fortsatt uavklart
Det er viktig å skille mellom påstand og bekreftet brudd. Foreløpig er dette en annonse på et forum, ikke et verifisert datainnbrudd. Sikkerhetsforskere som har sett på listingen mener at den mer sannsynlig reflekterer en mindre eller snevert avgrenset samling enn en full tømming av Grindr sine systemer.
Flere alternative forklaringer er mulige: at dataene er skrapet fra kontoer som allerede var kompromittert gjennom andre lekkasjer, at de stammer fra en tredjepartsleverandør som håndterer data på vegne av tjenesten, eller at deler av settet er gjenbrukt fra eldre lekkasjer og pakket om som «nytt». Samtidig oppgir selgeren prøvedata med tidsstempler så ferske som mai 2026, noe som i seg selv ikke beviser noe, men som brukes for å gjøre tilbudet mer troverdig overfor kjøpere.
Cybernews opplyser at de har kontaktet Grindr for en kommentar og vil oppdatere saken når selskapet svarer. Inntil en uavhengig verifisering foreligger, bør tallet på 15 millioner leses som selgerens påstand, ikke som et fastslått faktum.
Hvorfor dette angår flere enn Grindr-brukere
Selv om du aldri har brukt appen, illustrerer saken et mønster som rammer bredt. Sensitive tjenester samler ofte langt mer data enn brukeren tenker over, og når et datasett først sirkulerer på dark web, kan det kombineres med informasjon fra andre lekkasjer. En e-postadresse som dukker opp her, kan kobles mot et gjenbrukt passord fra en helt annen tjeneste, og plutselig har en angriper nok til å forsøke kontoovertakelse flere steder.
Det er denne sammenkoblingen som gjør enkeltlekkasjer farligere enn de ser ut. Verdien for en kriminell ligger sjelden i én database alene, men i å sy sammen biter fra mange.
Hva du bør gjøre nå
Enten du er Grindr-bruker eller bare vil redusere din egen eksponering, er grepene de samme:
1. Sjekk om e-posten din er lekket. Bruk MAILSCAN for å se om e-postadressen din finnes i kjente lekkasjedatabaser. Dukker den opp, vet du at adressen allerede er i omløp og bør behandles deretter.
2. Bytt passord, og gjenbruk aldri. Hvis du har brukt samme passord på flere tjenester, bytt det overalt. Test gjerne styrken og lekkasjestatusen på et passord med PWNSCAN før du tar det i bruk. En passord-manager gjør det praktisk å ha unike passord per tjeneste.
3. Slå på tofaktorautentisering. Selv om et passord lekker, stopper to-faktor de fleste forsøk på innlogging. Velg autentiseringsapp eller fysisk nøkkel fremfor SMS der du kan.
4. Vær ekstra årvåken på phishing. Lekkasjer som dette brukes ofte til målrettet svindel og utpressing. Ekte tjenester ber deg aldri oppgi passord eller engangskode via e-post eller melding. Er du i tvil, gå til tjenesten direkte i stedet for å klikke på lenker.
5. Vurder hva en konto faktisk avslører. For tjenester der selve medlemskapet er sensitivt, kan det være verdt å bruke en separat e-postadresse som ikke er knyttet til ditt fulle navn.
Overvåkning fremfor engangssjekk
En engangssjekk forteller deg hvordan situasjonen er akkurat nå. Problemet er at nye lekkasjer dukker opp hele tiden, og en adresse som er ren i dag kan stå i en database i morgen. Med kontinuerlig overvåkning i Sentinel PLUSS varsles du automatisk når e-postadressene dine dukker opp i nye lekkasjer, slik at du kan handle før noen andre rekker å utnytte det.
Grindr-saken er en påminnelse om at det ikke alltid er passordet som er det verdifulle. Noen ganger er det bare det at du står i databasen i det hele tatt. Da er det å vite det først, fremfor å oppdage det for sent, den eneste reelle forskjellen.