Les comptes Tinder ont presque été glissés entre les mains de pirates informatiques après que les chercheurs ont découvert qu'ils pouvaient se connecter aux comptes d'utilisateurs en utilisant simplement un numéro de téléphone.
Bien que la vulnérabilité soit maintenant corrigée, il est évidemment inquiétant que l'historique des discussions et les photos aient pu être exposés.
¿Cómo encuentro el historial de búsqueda de Google?
La vulnérabilité, qui était due à un mélange de deux choses : Tinder et l'utilisation par Tinder du kit de compte de Facebook, aurait pu donner à des pirates malveillants ou à des ex-souris l'accès aux comptes. Le fonctionnement est assez simple : lorsqu'un utilisateur choisit de se connecter à l'application en utilisant son numéro de téléphone, il est redirigé vers le kit de compte Facebook. En envoyant un code de confirmation par SMS à l'utilisateur, qui le tape ensuite sur le site Web du kit de compte, le kit de compte est capable de s'authentifier et de transmettre le jeton d'accès à Tinder. C'est cependant là que la vulnérabilité se produit.
LIRE SUIVANT: Tinder Plus contre Tinder Gold
Voir connexes Facebook admet que ses messages de spam vers des numéros de téléphone à authentification à deux facteurs ont été causés par un bogue Tinder Gold vous permet de payer pour voir qui vous aime, voici comment il se compare à Tinder Plus au Royaume-Uni Tinder pour les affaires ? Pas vraiment
Alors que l'API Tinder aurait dû vérifier l'ID client sur le jeton du kit de compte de Facebook, ce n'était pas le cas. Cela signifiait que les attaquants pouvaient utiliser un jeton de l'une des nombreuses autres applications qui utilisent Account Kit pour accéder à leur compte.
La vulnérabilité a été découverte par le fondateur d'AppSecure, Anand Prakash, qui a publié un article de blog détaillant ses découvertes. Il a encaissé 5 000 $ du programme Bug Bounty de Facebook et 1 250 $ de Tinder en récompense.
L'attaquant a désormais un contrôle total sur le compte de la victime - il peut lire des discussions privées, des informations personnelles complètes, balayer d'autres profils d'utilisateurs vers la gauche ou la droite, etc. Prakash a écrit.
Heureusement, aucun compte ne semble avoir été piraté avant que la vulnérabilité ne soit corrigée.
Cela n'a pas été un bon mois pour Facebook. Cela fait déjà problèmes d'authentification par téléphone et plus tôt cette semaine, la société a admis que les notifications de SMS de spam qu'elle envoyait aux utilisateurs étaient, en fait, un bogue.
insignia roku tv no se conecta a internet
