Računi Tinder so hekerji skoraj povlekli naravnost v roke, potem ko so raziskovalci ugotovili, da so se lahko prijavili v uporabniške račune samo s telefonsko številko.
Čeprav je ranljivost zdaj odpravljena, je očitno zaskrbljujoče, da bi lahko bili izpostavljeni zgodovina klepetov in fotografije.
ali lahko vidite, kdo si ogleduje vaše instagram video posnetke
Ranljivost, ki je vsebovala mešanico dveh stvari: Tinder in Tinderjeva uporaba Facebookovega kompleta računov, bi lahko zlonamernim hekerjem ali kislim bivšim omogočila dostop do računov. Kako naj deluje, je povsem preprosto: ko se uporabnik odloči, da se bo prijavil v aplikacijo s svojo telefonsko številko, bo preusmerjen na Facebook račun račun. S tem, ko uporabniku pošlje potrditveno kodo, ki jo nato vnese na spletno mesto Account Kit, lahko Account Kit potrdi pristnost in posreduje žeton za dostop Tinderju. Tam pa pride do ranljivosti.
PREBERITE NAPREJ: Tinder Plus v primerjavi z Tinder Gold
Glej sorodno Facebook priznava, da je njegovo neželeno besedilo na dvofaktorske telefonske številke za preverjanje pristnosti povzročila napaka Tinder Gold vam omogoča, da plačate, da vidite, kdo vas ima rad, tukaj je primerjava s Tinder Plus v Veliki Britaniji Tinder za posel? Ne, res
Medtem ko bi Tinder API moral preverjati ID odjemalca na Facebookovem žetonu Account Kit, pa ni. To je pomenilo, da bi napadalci lahko uporabili žeton ene izmed številnih drugih aplikacij, ki uporabljajo Account Kit, za pridobitev vstopa v svoj račun.
Ranljivost je odkril ustanovitelj AppSecure Anand Prakash, ki je objavil objava v spletnem dnevniku podrobno opisuje svoje ugotovitve. Za nagrado je unovčil 5000 dolarjev iz Facebookovega programa Bug Bounty in 1250 dolarjev pri Tinderju.
Napadalec ima v bistvu zdaj popoln nadzor nad računom žrtve - lahko bere zasebne klepete, popolne osebne podatke, potegne druge uporabniške profile levo ali desno itd., Je zapisal Prakash.
Na srečo se zdi, da noben račun ni bil vlomljen, preden je bila ranljivost popravljena.
Za Facebook ni bil dober mesec. To je že bilo težave s preverjanjem pristnosti telefona in v začetku tega tedna je družba priznala, da je neželena SMS-obvestila, ki jih je pošiljala uporabnikom, pravzaprav napaka.
kako prenesti vse z enega google pogona na drugega