Tinder-konti blev næsten skubbet lige i hænderne på hackere, efter at forskere fandt ud af, at de var i stand til at logge ind på brugerkonti ved hjælp af kun et telefonnummer.
Mens sårbarheden nu er løst, er det selvfølgelig bekymrende, at chathistorik og fotos kunne have været udsat for.
liga af legender, hvordan man skifter sprog
Sårbarheden, som skyldtes en blanding af to ting: Tinder og Tinders brug af Facebooks Account Kit, kunne have givet ondsindede hackere eller sur exes adgang til konti. Hvordan det skal fungere er ret simpelt: Når en bruger vælger at logge ind på appen ved hjælp af deres telefonnummer, bliver de omdirigeret til Facebooks Kontosæt. Ved at sende en bekræftelseskode til brugeren, som derefter skriver den på Account Kit-webstedet, er Account Kit i stand til at godkende og videregive adgangstokenet til Tinder. Det er dog her, hvor sårbarheden opstår.
LÆS NÆSTE: Tinder Plus versus Tinder Gold
Se relaterede Facebook indrømmer sine spam-tekster til tofaktorautentificering telefonnumre var forårsaget af en fejl Tinder Gold giver dig mulighed for at betale for at se, hvem der kan lide dig. Sådan sammenlignes det med Tinder Plus i Storbritannien Tinder til forretning? Nej virkelig
Selvom Tinder API burde have kontrolleret klient-id'et på Facebooks Kontosæt-token, var det ikke. Dette betød, at angribere kunne bruge et token fra en af de mange andre apps, der bruger Account Kit, for at få adgang til deres konto.
Sårbarheden blev opdaget af AppSecures grundlægger, Anand Prakash, der udgav en blogindlæg der beskriver hans fund. Han udbetalte $ 5.000 fra Facebooks Bug Bounty-program og $ 1.250 fra Tinder som en belønning.
Angriberen har dybest set fuld kontrol over offerets konto nu - han kan læse private chats, fuld personlige oplysninger, stryge andre brugerprofiler til venstre eller højre osv. Prakash skrev.
Heldigvis ser det ud til, at der ikke er brudt ind på nogen konti, før sårbarheden blev patched.
Det har ikke været en god måned for Facebook. Det har allerede haft problemer med telefongodkendelse og tidligere på ugen indrømmede virksomheden, at de spammy SMS-meddelelser, det sendte til brugerne, faktisk var en fejl.
hvordan man logger af snapchat på alle enheder
