Tinder računi gotovo su prebačeni u ruke hakera nakon što su istraživači otkrili da su se mogli prijaviti na korisničke račune samo pomoću telefonskog broja.
Iako je ranjivost sada ispravljena, očito je zabrinjavajuće da su povijest razgovora i fotografije mogle biti izložene.
facebook napredno pretraživanje 2.2 beta stranica
Ranjivost, koja se svodila na mješavinu dvije stvari: Tinder i Tinderova upotreba Facebookova kompleta računa, mogla je zlonamjernim hakerima ili kiselim bivšima dati pristup računima. Kako bi to trebalo funkcionirati, vrlo je jednostavno: kada se korisnik odluči prijaviti u aplikaciju pomoću svog telefonskog broja, bit će preusmjeren na Facebook račun račun. Slanjem koda za potvrdu korisniku, koji ga zatim upisuje na web stranicu Account Kit, Account Kit može provjeriti autentičnost i proslijediti pristupni token Tinderu. Međutim, tu se ranjivost događa.
PROČITAJTE DALJE: Tinder Plus nasuprot Tinder Gold
Vidi povezano Facebook priznaje da su neželjeni tekstovi na dvofaktorske brojeve za provjeru autentičnosti uzrokovani programskom pogreškom Tinder Gold omogućuje vam plaćanje da vidite tko vas voli, evo kako se uspoređuje s Tinder Plusom u Velikoj Britaniji Tinder za posao? Ne stvarno
Iako je Tinder API trebao provjeravati ID klijenta na Facebookovom tokenu računa, nije. To je značilo da bi napadači mogli koristiti žeton iz jedne od brojnih drugih aplikacija koje koriste Account Kit kako bi stekli pristup svom računu.
Ranjivost je otkrio osnivač AppSecurea, Anand Prakash, koji je objavio post na blogu detaljno opisujući svoja otkrića. Kao nagradu unovčio je 5.000 dolara iz Facebookova programa Bug Bounty i 1.250 dolara od Tindera.
Napadač u osnovi sada ima potpunu kontrolu nad računom žrtve - može čitati privatne chatove, potpune osobne podatke, prevlačiti druge korisničke profile lijevo ili desno itd., Napisao je Prakash.
Srećom, čini se da nijedan račun nije provaljen prije zakrpe ranjivosti.
Nije bio dobar mjesec za Facebook. To je već bilo problemi s autentifikacijom telefona i početkom ovog tjedna, tvrtka je priznala da su neželjene SMS obavijesti koje je slala korisnicima zapravo greška.
kako dodati uređaj na google -