Tinder-tilit pyyhkäistiin melkein hakkereiden käsiin, kun tutkijat havaitsivat, että he pystyivät kirjautumaan käyttäjätileihin vain puhelinnumerolla.
Vaikka haavoittuvuus on nyt korjattu, on tietysti huolestuttavaa, että chat-historia ja valokuvat olisi voitu paljastaa.
facebook-haun 2.2 beta -sivu
Haavoittuvuus, joka johtui kahden asian sekoituksesta: Tinder ja Tinderin käyttämä Facebook-tilipaketti, olisi voinut antaa haitallisille hakkereille tai hapan ulkopuolisille pääsyn tileihin. Kuinka sen pitäisi toimia, on melko yksinkertaista: kun käyttäjä haluaa kirjautua sovellukseen puhelinnumerollaan, hänet ohjataan Facebookin tilipakettiin. Lähettämällä vahvistuskoodin käyttäjälle, joka kirjoittaa sen sitten Account Kit -sivustolle, Account Kit pystyy todentamaan ja välittämään pääsykoodin Tinderille. Siinä kuitenkin haavoittuvuus esiintyy.
LUE SEURAAVA: Tinder Plus vs.Tinder Gold
Katso aiheeseen liittyvät Facebook myöntää roskapostitekstinsä virheen aiheuttamiin kaksivaiheisiin todennuspuhelinnumeroihin Tinder Gold antaa sinun maksaa nähdä, kuka tykkää sinusta. Näin se vertaa Tinder Plus -tapahtumaan Isossa-Britanniassa Tinder yrityksille? Oikeasti
Vaikka Tinder-sovellusliittymän olisi pitänyt tarkistaa asiakastunnus Facebookin Account Kit -tunnisteesta, se ei ollut. Tämä tarkoitti sitä, että hyökkääjät voisivat käyttää tunnusta yhdestä lukuisista muista sovelluksista, jotka käyttävät Account Kitiä saadakseen pääsyn tililleen.
Haavoittuvuuden löysi AppSecuren perustaja Anand Prakash, joka julkaisi a blogipostaus yksityiskohtaisesti havainnot. Hän kotiutti 5000 dollaria Facebookin Bug Bounty -ohjelmasta ja 1250 dollaria Tinderiltä palkkiona.
Hyökkääjällä on nyt periaatteessa täysi hallinto uhrin tilissä - hän voi lukea yksityisiä keskusteluja, täydellisiä henkilökohtaisia tietoja, pyyhkäistä muita käyttäjäprofiileja vasemmalle tai oikealle jne. Prakash kirjoitti.
Onneksi yksikään tili ei näytä murtautuneen ennen haavoittuvuuden korjaamista.
Se ei ole ollut hyvä kuukausi Facebookille. Se on jo ollut puhelimen todennusongelmat ja aiemmin tällä viikolla yritys myönsi, että roskapostiviestit, jotka se lähetti käyttäjille, olivat itse asiassa vika.
kuinka muodostaa yhteys naapureiden wifiin ilman salasanaa