A Tinder-fiókok szinte egyenesen a hackerek kezébe kerültek, miután a kutatók megállapították, hogy csupán telefonszám segítségével tudnak bejelentkezni a felhasználói fiókokba.
Noha a biztonsági rés már kijavított, nyilvánvalóan aggasztó, hogy a csevegési előzmények és a fotók leleplezhetők voltak.
hogyan lehet egy gif-et szerezni a twitterről
A biztonsági rés, amely két dolog keverékéből állt: a Tinderből és a Tinder Facebook-fiókjának használatából, rosszindulatú hackerek vagy savanyú exek számára adhatott hozzáférést a fiókokhoz. Hogyan kell működnie, meglehetősen egyszerű: amikor a felhasználó úgy dönt, hogy telefonszáma alapján bejelentkezik az alkalmazásba, akkor a rendszer átirányítja a Facebook fiókkészletébe. Ha megerősítő kódot küld a felhasználónak, aki beírja azt a Account Kit webhelyre, a Account Kit képes hitelesíteni és továbbítani a hozzáférési tokent a Tinder-nek. A sebezhetőség azonban ott fordul elő.
OLVASSA TOVÁBB: Tinder Plus kontra Tinder Gold
Lásd kapcsolódó A Facebook elismeri a spamszövegeket, hogy a kétfaktoros hitelesítési telefonszámokat egy hiba okozta A Tinder Gold segítségével fizethet azért, hogy lássa, ki kedvel téged. Így hasonlíthatja össze az Egyesült Királyságban található Tinder Plus-szal Tinder üzleti célokra? Nem igazán
Míg a Tinder API-nak a Facebook Account Kit tokenjén kellett volna ellenőriznie az ügyfél-azonosítót, az nem volt. Ez azt jelentette, hogy a támadók a Számlakészletet használó számos más alkalmazás egyikének tokent használhatnak a fiókjuk bejegyzéséhez.
A sérülékenységet az AppSecure alapítója, Anand Prakash fedezte fel, aki a blog bejegyzés részletezve a megállapításait. 5000 dollárral fizette ki a Facebook Bug Bounty programjából és 1250 dollárral a Tinderből jutalomként.
A támadó alapvetően teljes mértékben ellenőrzi az áldozat fiókját - olvashat privát beszélgetéseket, teljes személyes információkat, ellophatja a többi felhasználói profilt balra vagy jobbra stb. Prakash írta.
Szerencsére úgy tűnik, hogy egyetlen fiókot sem törtek be a biztonsági rés javítása előtt.
Nem volt jó hónap a Facebook számára. Már volt telefon-hitelesítési problémák és a hét elején a vállalat elismerte, hogy a spam jellegű SMS-értesítések, amelyeket a felhasználóknak küldött, valójában hiba volt.
hogyan ellenőrizhető az iPad akkumulátorának állapota
