Účty troud byly téměř přeneseny přímo do rukou hackerů poté, co vědci zjistili, že se mohou přihlásit k uživatelským účtům pouze pomocí telefonního čísla.
I když je chyba zabezpečení nyní opravena, je zjevně znepokojující, že mohla být odhalena historie chatu a fotografie.
jak smazat kanály na rok
Zranitelnost, která byla způsobena kombinací dvou věcí: Tinder a použití Tinderovy sady účtů na Facebooku, mohlo dát škodlivým hackerům nebo kyselým exům přístup k účtům. Jak by to mělo fungovat, je docela jednoduché: když se uživatel rozhodne přihlásit se do aplikace pomocí svého telefonního čísla, bude přesměrován na Facebook Account Kit. Textovou zprávou s potvrzovacím kódem uživateli, který jej poté zadá na web Account Kit, bude sada účtů schopna ověřit a předat přístupový token společnosti Tinder. Zde však dochází k chybě zabezpečení.
PŘEČTĚTE SI DALŠÍ: Tinder Plus versus Tinder Gold
Viz související Facebook připouští své nevyžádané texty na dvoufaktorová ověřovací telefonní čísla způsobená chybou Tinder Gold vám umožňuje platit, abyste zjistili, kdo vás má rád, zde je srovnání s Tinder Plus ve Velké Británii Tinder pro podnikání? Né vážně
Zatímco Tinder API mělo kontrolovat ID klienta na tokenu Account Kit Facebooku, nebylo to tak. To znamenalo, že útočníci mohli k získání přístupu na svůj účet použít token z jedné z mnoha dalších aplikací, které používají Account Kit.
Tuto chybu zabezpečení zjistil zakladatel AppSecure Anand Prakash, který publikoval a příspěvek na blogu podrobně popisující jeho nálezy. Jako odměnu si vydělal 5 000 $ z programu Bug Bounty na Facebooku a 1 250 $ z Tinderu.
Útočník má nyní v zásadě plnou kontrolu nad účtem oběti - může číst soukromé chaty, úplné osobní informace, přejíždět jinými uživatelskými profily doleva nebo doprava atd., Napsal Prakash.
Naštěstí se zdá, že žádné účty nebyly rozděleny dříve, než byla chyba zabezpečení opravena.
Pro Facebook to nebyl dobrý měsíc. Už to má problémy s ověřením telefonu a počátkem tohoto týdne společnost připustila, že spamová SMS upozornění, která zasílala uživatelům, byla ve skutečnosti chyba.
jak ukládat snapchat obrázky, aniž by o tom věděli