Tinder-kontoer ble nesten svekket rett i hendene på hackere etter at forskere fant at de var i stand til å logge på brukerkontoer med bare et telefonnummer.
Mens sårbarheten nå er løst, er det åpenbart bekymringsfullt at chathistorikk og bilder kunne ha blitt avslørt.
hvordan du sjekker hvor mange timer du har på fortnite
Sårbarheten, som skyldtes en blanding av to ting: Tinder, og Tinders bruk av Facebooks Account Kit, kunne ha gitt ondsinnede hackere eller sur exes tilgang til kontoer. Hvordan det skal fungere er ganske enkelt: Når en bruker velger å logge på appen ved hjelp av telefonnummeret sitt, blir de omdirigert til Facebooks Account Kit. Ved å sende en bekreftelseskode til brukeren, som deretter skriver den inn på Account Kit-nettstedet, kan Account Kit autentisere og overføre tilgangstokenet til Tinder. Det er derimot hvor sårbarheten oppstår.
LES NESTE: Tinder Plus versus Tinder Gold
Se relatert Facebook innrømmer spam-tekstene sine til tofaktorautentisering telefonnumre var forårsaket av en feil Med Tinder Gold kan du betale for å se hvem som liker deg. Slik sammenligner du deg med Tinder Plus i Storbritannia Tinder for forretninger? Nei, egentlig
Selv om Tinder API burde ha sjekket klient-ID-en på Facebooks Account Kit-token, var det ikke det. Dette betydde at angripere kunne bruke et token fra en av de mange andre appene som bruker Account Kit, for å få tilgang til kontoen sin.
Sårbarheten ble oppdaget av AppSecures grunnlegger, Anand Prakash, som publiserte en blogg innlegg som beskriver funnene hans. Han utbetalte $ 5000 fra Facebooks Bug Bounty-program og $ 1 250 fra Tinder som belønning.
Angriperen har i utgangspunktet full kontroll over offerets konto nå - han kan lese private chatter, full personlig informasjon, sveipe andre brukerprofiler mot venstre eller høyre etc. Prakash skrev.
Heldigvis ser det ikke ut til at det er brutt inn noen kontoer før sårbarheten ble lappet.
Det har ikke vært en god måned for Facebook. Det har allerede hatt problemer med telefongodkjenning og tidligere denne uken innrømmet selskapet at spammy SMS-varslene det sendte til brukerne, faktisk var en feil.
hvordan du endrer Netflix-kvaliteten på pc