Konta Tindera niemal trafiły w ręce hakerów po tym, jak badacze odkryli, że są w stanie zalogować się na konta użytkowników przy użyciu tylko numeru telefonu.
Chociaż usterka została naprawiona, oczywiście niepokojące jest to, że historia czatu i zdjęcia mogły zostać ujawnione.
gdzie Google Chrome przechowuje zakładki?
Luka ta, która wynikała z połączenia dwóch rzeczy: Tindera i korzystania przez Tindera z Facebooka Account Kit, mogła dać złośliwym hakerom lub kwaśnym exesom dostęp do kont. Jak to powinno działać, jest dość proste: gdy użytkownik zdecyduje się zalogować do aplikacji za pomocą swojego numeru telefonu, zostanie przekierowany do zestawu kont Facebooka. Wysyłając kod potwierdzający do użytkownika, który następnie wpisuje go na stronie Zestawu Konta, Zestaw Konta jest w stanie uwierzytelnić i przekazać token dostępu do Tindera. To jednak jest miejsce, w którym pojawia się luka.
CZYTAJ DALEJ: Tinder Plus kontra Tinder Gold
Zobacz powiązane Facebook przyznaje, że jego wiadomości spamowe na numery telefonów z uwierzytelnianiem dwuskładnikowym zostały spowodowane błędem Tinder Gold pozwala płacić, aby zobaczyć, kto Cię lubi, oto jak wypada w porównaniu z Tinder Plus w Wielkiej Brytanii Tinder dla biznesu? Nie naprawdę
Chociaż interfejs API Tindera powinien był sprawdzać identyfikator klienta na tokenie zestawu konta Facebooka, tak się nie stało. Oznaczało to, że atakujący mogli użyć tokena z jednej z wielu innych aplikacji korzystających z zestawu Account Kit, aby uzyskać dostęp do swojego konta.
Luka została odkryta przez założyciela AppSecure, Ananda Prakasha, który opublikował: post na blogu szczegółowo opisując swoje ustalenia. Wypłacił 5000 $ z programu Bug Bounty Facebooka i 1250 $ z Tindera jako nagrodę.
Atakujący w zasadzie ma teraz pełną kontrolę nad kontem ofiary – może czytać prywatne czaty, pełne dane osobowe, przesuwać inne profile użytkowników w lewo lub w prawo itp. Prakash napisał.
Na szczęście wydaje się, że żadne konta nie zostały włamane przed załataniem luki.
To nie był dobry miesiąc dla Facebooka. To już miało problemy z uwierzytelnianiem telefonu phone a na początku tego tygodnia firma przyznała, że spamowe powiadomienia SMS wysyłane do użytkowników były w rzeczywistości błędem.
jak pobierać aplikacje na element smart tv