Gli account di Tinder sono quasi finiti nelle mani degli hacker dopo che i ricercatori hanno scoperto che erano in grado di accedere agli account utente utilizzando solo un numero di telefono.
Sebbene la vulnerabilità sia ora risolta, è ovviamente preoccupante che la cronologia della chat e le foto possano essere state esposte.
numero di giorni tra due date excel
La vulnerabilità, che dipendeva da un mix di due cose: Tinder e l'uso da parte di Tinder dell'Account Kit di Facebook, avrebbe potuto consentire a hacker malintenzionati o sour ex di accedere agli account. Come dovrebbe funzionare è abbastanza semplice: quando un utente sceglie di accedere all'app utilizzando il proprio numero di telefono, verrà reindirizzato all'Account Kit di Facebook. Inviando un codice di conferma all'utente, che lo digita nel sito Web di Account Kit, Account Kit è in grado di autenticarsi e passare il token di accesso a Tinder. Questo, tuttavia, è dove si verifica la vulnerabilità.
LEGGI SUCCESSIVO: Tinder Plus contro Tinder Gold
Vedi correlati Facebook ammette che i suoi messaggi di spam ai numeri di telefono di autenticazione a due fattori sono stati causati da un bug Tinder Gold ti consente di pagare per vedere a chi piaci, ecco come si confronta con Tinder Plus nel Regno Unito Tinder per affari? No davvero
Mentre l'API di Tinder avrebbe dovuto controllare l'ID client sul token Account Kit di Facebook, non lo era. Ciò significava che gli aggressori potevano utilizzare un token da una delle numerose altre app che utilizzano Account Kit, per ottenere l'accesso al proprio account.
La vulnerabilità è stata scoperta dal fondatore di AppSecure, Anand Prakash, che ha pubblicato a post sul blog dettagliando le sue scoperte. Ha incassato $ 5.000 dal programma Bug Bounty di Facebook e $ 1.250 da Tinder come ricompensa.
L'aggressore ha sostanzialmente il pieno controllo sull'account della vittima ora: può leggere chat private, informazioni personali complete, scorrere altri profili utente a sinistra oa destra, ecc. Prakash ha scritto.
Fortunatamente, nessun account sembra essere stato violato prima che la vulnerabilità fosse corretta.
Non è stato un buon mese per Facebook. Sta già avendo problemi di autenticazione telefonica e all'inizio di questa settimana, la società ha ammesso che le notifiche SMS di spam che stava inviando agli utenti erano, in effetti, un bug.
come rimuovere i ruoli su discord