Els comptes de Tinder gairebé van passar a mans dels pirates informàtics després que els investigadors van trobar que eren capaços d’iniciar sessió als comptes d’usuari només amb un número de telèfon.
Tot i que la vulnerabilitat s’ha solucionat, és evident que és preocupant que s’hagin pogut exposar l’historial i les fotos del xat.
qui persegueix la meva pàgina de Facebook
La vulnerabilitat, que es basava en una combinació de dues coses: Tinder i l’ús que feia Tinder del Compte Kit de Facebook, podrien haver donat accés als comptes a pirates informàtics maliciosos o ex-aguts. Com ha de funcionar és bastant senzill: quan un usuari opta per iniciar la sessió a l'aplicació mitjançant el seu número de telèfon, es redirigirà al kit de comptes de Facebook. Mitjançant un missatge de text d’un codi de confirmació a l’usuari, que l’escriu al lloc web del Account Kit, el Account Kit pot autenticar i passar el testimoni d’accés a Tinder. Allà, però, és on es produeix la vulnerabilitat.
LLEGIR SEGÜENT: Tinder Plus versus Tinder Gold
Veure relacionat Facebook admet que els seus missatges de correu brossa a números de telèfon d’autenticació de dos factors van ser causats per un error Tinder Gold us permet pagar per veure qui us agrada, així es compara amb Tinder Plus al Regne Unit Tinder per a empreses? No realment
Tot i que l’API de Tinder hauria d’haver estat comprovant l’identificador de client al testimoni del kit de comptes de Facebook, no ho era. Això significava que els atacants podien utilitzar un testimoni d'una de les altres aplicacions que utilitzen Account Kit per accedir al seu compte.
La vulnerabilitat va ser descoberta pel fundador d’AppSecure, Anand Prakash, que va publicar un publicació al bloc detallant les seves troballes. Va cobrar amb 5.000 dòlars del programa Bug Bounty de Facebook i 1.250 dòlars de Tinder com a recompensa.
L’atacant té bàsicament el control total del compte de la víctima ara: pot llegir xats privats, informació personal completa, lliscar altres perfils d’usuaris cap a l’esquerra o cap a la dreta, etc. va escriure Prakash.
Afortunadament, no sembla que s’hagi trencat cap compte abans que la vulnerabilitat es poguessin corregir.
No ha estat un bon mes per a Facebook. Ja ho ha estat tenint problemes d'autenticació telefònica i a principis d'aquesta setmana, l'empresa va admetre que les notificacions per correu brossa que enviava als usuaris eren, de fet, un error.
com es pot comprovar el dpi d’una imatge
