Учетные записи Tinder практически попали в руки хакеров после того, как исследователи обнаружили, что они могут входить в учетные записи пользователей, используя только номер телефона.
Хотя уязвимость в настоящее время устранена, очевидно, что могут быть раскрыты история чата и фотографии.
Google Play Fire TV без рута
Уязвимость, которая возникла из-за сочетания двух факторов: Tinder и использование Tinder Account Kit Facebook, могло дать злоумышленникам или посторонним доступ к учетным записям. Это должно работать довольно просто: когда пользователь решает войти в приложение, используя свой номер телефона, он будет перенаправлен в Account Kit Facebook. Отправляя текст подтверждения пользователю, который затем вводит его на веб-сайт Account Kit, Account Kit может пройти аутентификацию и передать токен доступа в Tinder. Однако именно здесь и возникает уязвимость.
ЧИТАЙТЕ СЛЕДУЮЩИЙ: Tinder Plus против Tinder Gold
См. Связанные Facebook признает, что его спам-тексты на телефонные номера с двухфакторной аутентификацией были вызваны ошибкой Tinder Gold позволяет вам платить, чтобы видеть, кому вы нравитесь. Вот его сравнение с Tinder Plus в Великобритании. Тиндер для бизнеса? Нет правда
Хотя Tinder API должен был проверять идентификатор клиента на токене Account Kit Facebook, этого не произошло. Это означало, что злоумышленники могли использовать токен одного из множества других приложений, использующих Account Kit, чтобы получить доступ к своей учетной записи.
Уязвимость была обнаружена основателем AppSecure Анандом Пракашем, который опубликовал Сообщение блога детализируя свои выводы. Он получил 5000 долларов от программы Bug Bounty в Facebook и 1250 долларов от Tinder в качестве вознаграждения.
Злоумышленник теперь практически полностью контролирует учетную запись жертвы - он может читать приватные чаты, полную личную информацию, пролистывать профили других пользователей влево или вправо и т. Д. Пракаш написал.
К счастью, до того, как уязвимость была исправлена, похоже, не было взломано ни одной учетной записи.
Это был не лучший месяц для Facebook. Это уже было проблемы с аутентификацией по телефону а ранее на этой неделе компания признала, что рассылаемые пользователям SMS-уведомления о спаме на самом деле были ошибкой.
как принудительно завершить работу в Windows 10