„Tinder“ sąskaitos buvo beveik permestos į įsilaužėlių rankas, kai mokslininkai nustatė, kad jie gali prisijungti prie vartotojų abonementų naudodami tik telefono numerį.
Nors pažeidžiamumas dabar pašalintas, akivaizdu, kad kelia nerimą tai, jog galėjo būti atskleista pokalbių istorija ir nuotraukos.
kur „Google Chrome“ saugo žymes
Pažeidžiamumas, kurį nulėmė dviejų dalykų derinys: „Tinder“ ir „Tinder“ naudotas „Facebook“ paskyros rinkinys, galėjo suteikti prieigą prie kenkėjiškų įsilaužėlių ar rūpesčių turinčių šalių. Kaip tai turėtų veikti, yra gana paprasta: kai vartotojas nusprendžia prisijungti prie programos naudodamas savo telefono numerį, jis bus nukreiptas į „Facebook“ paskyros rinkinį. Siųsdamas patvirtinimo kodą vartotojui, kuris jį įveda į „Account Kit“ svetainę, „Account Kit“ gali autentifikuoti ir perduoti prieigos raktą „Tinder“. Tačiau pažeidžiamumas atsiranda būtent ten.
SKAITYKITE TOLIAU: „Tinder Plus“ ir „Tinder Gold“
Žiūrėkite susijusius „Facebook“ pripažįsta savo šlamšto tekstus dviejų veiksnių autentifikavimo telefono numeriais, kuriuos sukėlė klaida „Tinder Gold“ leidžia mokėti, kad pamatytumėte, kas jums patinka. Štai, kaip jis lyginamas su „Tinder Plus“ JK „Tinder“ verslui? Ne, tikrai
Nors „Tinder“ API turėjo tikrinti kliento ID „Facebook“ paskyros rinkinio prieigos rakte, to nebuvo. Tai reiškė, kad užpuolikai, norėdami patekti į savo sąskaitą, galėjo naudoti vienos iš daugybės kitų programų, naudojančių „Account Kit“, žetoną.
Pažeidžiamumą aptiko „AppSecure“ įkūrėjas Anandas Prakashas, paskelbęs a tinklaraščio straipsnis detalizuodamas savo išvadas. Jis išsimokėjo 5000 USD iš „Facebook Bug Bounty“ programos ir 1250 USD iš „Tinder“ kaip atlygį.
Užpuolikas iš esmės dabar visiškai kontroliuoja aukos sąskaitą - jis gali skaityti privačius pokalbius, visą asmeninę informaciją, perbraukti kitus vartotojų profilius kairėn ar dešinėn ir pan. Prakashas parašė.
Laimei, atrodo, kad prieš pataisant pažeidžiamumą nebuvo įsilaužta į jokią paskyrą.
Tai nebuvo geras „Facebook“ mėnuo. Tai jau turėjo telefono autentifikavimo problemos ir šios savaitės pradžioje bendrovė pripažino, kad šlamšti SMS pranešimai, kuriuos ji siuntė vartotojams, iš tikrųjų buvo klaida.
kaip padaryti išplėstinę paiešką feisbuke
