Účty Tinder boli takmer presunuté priamo do rúk hackerom potom, čo vedci zistili, že sa môžu prihlásiť do používateľských účtov iba pomocou telefónneho čísla.
Aj keď je zraniteľnosť už opravená, je zjavne znepokojujúce, že mohla byť odhalená história rozhovorov a fotografie.
môžete vidieť, kto si prezerá vaše instagramové videá
Zraniteľnosť, ktorá sa spájala s kombináciou dvoch vecí: Tinder a Tinderove použitie sady účtov spoločnosti Facebook, mohla umožniť škodlivým hackerom alebo prístupom kyselých ex k účtom. Ako by to malo fungovať, je celkom jednoduché: keď sa používateľ rozhodne prihlásiť do aplikácie pomocou svojho telefónneho čísla, bude presmerovaný na súpravu účtov spoločnosti Facebook. Po zaslaní potvrdzovacieho kódu používateľovi, ktorý ho potom napíše na webovú stránku súpravy účtov, bude súprava účtov schopná autentifikovať a odovzdať prístupový token spoločnosti Tinder. Tam sa však vyskytuje zraniteľnosť.
PREČÍTAJTE SI ĎALŠIE: Tinder Plus verzus Tinder Gold
Pozri súvisiace Facebook pripúšťa svoje spamové texty na dvojfaktorové overovanie telefónnych čísel spôsobených chybou Tinder Gold vám umožňuje platiť, aby ste zistili, kto vás má rád, tu je porovnanie s Tinder Plus vo Veľkej Británii Tinder pre podnikanie? Skutočne nie
Aj keď malo Tinder API kontrolovať ID klienta na tokene Account Kit Facebooku, nebolo to tak. To znamenalo, že útočníci mohli na získanie prístupu do svojho účtu použiť token z jednej z mnohých ďalších aplikácií, ktoré používajú súpravu účtov.
Zraniteľnosť odhalil zakladateľ AppSecure Anand Prakash, ktorý publikoval a príspevok v blogu jeho nálezy. Ako odmenu zinkasoval 5 000 dolárov z programu Bug Bounty spoločnosti Facebook a 1 250 dolárov od spoločnosti Tinder.
Útočník má v zásade úplnú kontrolu nad účtom obete - môže čítať súkromné chaty, úplné osobné informácie, posúvať prstom po iných používateľských profiloch doľava alebo doprava atď., Napísal Prakash.
Našťastie sa zdá, že pred opravou chyby zabezpečenia nedošlo k narušeniu žiadnych účtov.
Pre Facebook to nebol dobrý mesiac. Už to bolo problémy s autentifikáciou telefónu a začiatkom tohto týždňa spoločnosť pripustila, že spamové SMS oznámenia, ktoré posielal používateľom, boli v skutočnosti chybou.
blokovanie telefónneho čísla pri šprinte