Οι λογαριασμοί Tinder σχεδόν μεταφέρθηκαν στα χέρια των χάκερ αφού οι ερευνητές διαπίστωσαν ότι μπόρεσαν να συνδεθούν σε λογαριασμούς χρηστών χρησιμοποιώντας μόνο έναν αριθμό τηλεφώνου.
Ενώ η ευπάθεια έχει πλέον διορθωθεί, είναι προφανώς ανησυχητικό ότι το ιστορικό συνομιλιών και οι φωτογραφίες θα μπορούσαν να είχαν εκτεθεί.
πώς να προωθήσετε μηνύματα facebook στο email
Η ευπάθεια, η οποία οφείλεται σε ένα συνδυασμό δύο πραγμάτων: η Tinder και η χρήση του κιτ λογαριασμού του Facebook από τον Tinder, θα μπορούσαν να δώσουν σε κακόβουλους εισβολείς ή ξενιστές πρόσβαση σε λογαριασμούς. Ο τρόπος που πρέπει να λειτουργεί είναι αρκετά απλός: όταν ένας χρήστης επιλέγει να συνδεθεί στην εφαρμογή χρησιμοποιώντας τον αριθμό τηλεφώνου του, θα ανακατευθυνθεί στο κιτ λογαριασμού του Facebook. Με την αποστολή ενός κωδικού επιβεβαίωσης στον χρήστη, ο οποίος στη συνέχεια τον πληκτρολογεί στον ιστότοπο του κιτ λογαριασμού, το κιτ λογαριασμού μπορεί να πραγματοποιήσει έλεγχο ταυτότητας και να μεταβιβάσει το διακριτικό πρόσβασης στο Tinder. Αυτό, ωστόσο, είναι όπου συμβαίνει η ευπάθεια.
ΔΙΑΒΑΣΤΕ ΕΠΟΜΕΝΟ: Tinder Plus έναντι Tinder Gold
Δείτε σχετικές Το Facebook παραδέχεται ότι τα μηνύματα ανεπιθύμητης αλληλογραφίας σε αριθμούς τηλεφώνου ελέγχου ταυτότητας δύο παραγόντων προκλήθηκαν από σφάλμα Το Tinder Gold σάς επιτρέπει να πληρώνετε για να δείτε ποιος σας αρέσει, δείτε πώς συγκρίνεται με το Tinder Plus στο Ηνωμένο Βασίλειο Tinder για επιχειρήσεις; Οχι πραγματικά
Ενώ το Tinder API έπρεπε να ελέγχει το αναγνωριστικό πελάτη στο διακριτικό του κιτ λογαριασμού του Facebook, δεν ήταν. Αυτό σήμαινε ότι οι εισβολείς θα μπορούσαν να χρησιμοποιήσουν ένα διακριτικό από μία από τις πολλές άλλες εφαρμογές που χρησιμοποιούν το Account Kit, για να αποκτήσουν είσοδο στον λογαριασμό τους.
Η ευπάθεια ανακαλύφθηκε από τον ιδρυτή της AppSecure, Anand Prakash, ο οποίος δημοσίευσε ένα ανάρτηση λεπτομερώς τα ευρήματά του. Εξαργύρωσε με 5.000 $ από το πρόγραμμα Bug Bounty του Facebook και 1.250 $ από το Tinder ως ανταμοιβή.
Ο εισβολέας έχει βασικά τον πλήρη έλεγχο του λογαριασμού του θύματος τώρα - μπορεί να διαβάσει ιδιωτικές συνομιλίες, πλήρη προσωπικά στοιχεία, να σύρει άλλα προφίλ χρήστη αριστερά ή δεξιά κ.λπ. έγραψε ο Prakash.
Ευτυχώς, δεν φαίνεται να έχουν καταστραφεί λογαριασμοί πριν από την επιδιόρθωση της ευπάθειας.
Δεν ήταν καλός μήνας για το Facebook. Έχει ήδη ζητήματα ελέγχου ταυτότητας τηλεφώνου και νωρίτερα αυτήν την εβδομάδα, η εταιρεία παραδέχτηκε ότι οι ανεπιθύμητες ειδοποιήσεις SMS που έστελνε στους χρήστες ήταν στην πραγματικότητα ένα σφάλμα.
πώς να ανοίξετε έγγραφα κειμένου στο Android
