Tinder-accounts werden bijna in de handen van hackers geveegd nadat onderzoekers ontdekten dat ze met slechts een telefoonnummer konden inloggen op gebruikersaccounts.
Hoewel de kwetsbaarheid nu is verholpen, is het natuurlijk zorgwekkend dat de chatgeschiedenis en foto's kunnen zijn blootgesteld.
hoe Facebook-berichten door te sturen naar e-mail
De kwetsbaarheid, die te wijten was aan een combinatie van twee dingen: Tinder en Tinder's gebruik van Facebook's Account Kit, had kwaadwillende hackers of zure exen toegang tot accounts kunnen geven. Hoe het zou moeten werken, is vrij eenvoudig: wanneer een gebruiker ervoor kiest om in te loggen bij de app met zijn telefoonnummer, wordt hij doorgestuurd naar de Account Kit van Facebook. Door een bevestigingscode naar de gebruiker te sturen, die deze vervolgens in de Account Kit-website typt, kan de Account Kit zich verifiëren en het toegangstoken doorgeven aan Tinder. Dat is echter waar de kwetsbaarheid zich voordoet.
LEES VOLGENDE: Tinder Plus versus Tinder Gold
Zie gerelateerd Facebook geeft toe dat zijn spamteksten naar telefoonnummers voor tweefactorauthenticatie werden veroorzaakt door een bug Met Tinder Gold kun je betalen om te zien wie je leuk vindt, dit is hoe het zich verhoudt tot Tinder Plus in het VK Tinder voor zaken? Nee echt
Hoewel de Tinder-API de klant-ID op de Account Kit-token van Facebook had moeten controleren, was dat niet zo. Dit betekende dat aanvallers een token van een van de vele andere apps die Account Kit gebruiken, konden gebruiken om toegang te krijgen tot hun account.
De kwetsbaarheid werd ontdekt door de oprichter van AppSecure, Anand Prakash, die een blogpost gedetailleerd zijn bevindingen. Hij verzilverde $ 5.000 van het Bug Bounty-programma van Facebook en $ 1.250 van Tinder als beloning.
De aanvaller heeft nu in feite de volledige controle over het account van het slachtoffer - hij kan privéchats lezen, volledige persoonlijke informatie lezen, andere gebruikersprofielen naar links of rechts vegen, enz. Schreef Prakash.
Gelukkig lijkt er op geen enkele account te zijn ingebroken voordat de kwetsbaarheid werd gepatcht.
Het is geen goede maand geweest voor Facebook. Het heeft al gehad telefoon-authenticatie problemen en eerder deze week gaf het bedrijf toe dat de spam-sms-meldingen die het naar gebruikers verstuurde, in feite een bug was.
hoe te pingen in League of Legends