חשבונות טינדר כמעט הועברו מיד לידיהם של האקרים לאחר שחוקרים גילו שהם מצליחים להתחבר לחשבונות משתמשים באמצעות מספר טלפון בלבד.
למרות שהפגיעות קבועה כעת, ברור שזה מדאיג שניתן היה לחשוף היסטוריית צ'אט ותמונות.
כיצד ליצור שרת בלא הופך
הפגיעות, שהיתה תמהיל של שני דברים: טינדר, והשימוש של טינדר בערכת החשבונות של פייסבוק, היו יכולים לתת להאקרים זדוניים או לגישה חמוצה של גישה לחשבונות. איך זה אמור לעבוד פשוט למדי: כאשר משתמש יבחר להיכנס לאפליקציה באמצעות מספר הטלפון שלו, הוא יופנה לערכת החשבונות של פייסבוק. על ידי שליחת קוד אישור למשתמש, ואז הקלדתו באתר Account Kit, ערכת Account מסוגלת לאמת ולהעביר את אסימון הגישה ל- Tinder. עם זאת, שם מתרחשת הפגיעות.
קרא הבא: טינדר פלוס מול טינדר זהב
ראה קשורים פייסבוק מודה שטקסטי הספאם שלה למספרי טלפון של אימות דו-גורמי נגרמו על ידי באג Tinder Gold מאפשר לך לשלם כדי לראות מי אוהב אותך. כך זה משתווה לטינדר פלוס בבריטניה טינדר לעסקים? לא ממש
בעוד ש- API של Tinder היה צריך לבדוק את מזהה הלקוח באסימון ערכת החשבון של פייסבוק, זה לא היה. פירוש הדבר שתוקפים יכולים להשתמש באסימון מאחת היישומים הרבים האחרים המשתמשים בערכת חשבונות, כדי לקבל כניסה לחשבונם.
את הפגיעות התגלה מייסד AppSecure, אנאנד פראקש, שפרסם א פוסט בבלוג המפרט את ממצאיו. הוא פדה 5,000 דולר מתוכנית Bug Bounty של פייסבוק ו -1,250 דולר מטינדר כפרס.
התוקף בעצם שולט כעת בחשבון הקורבן - הוא יכול לקרוא צ'אטים פרטיים, מידע אישי מלא, להחליק פרופילי משתמשים אחרים שמאלה או ימינה וכו '. פרקש כתב.
למרבה המזל, נראה כי לא נפרצו חשבונות לפני שתוקנו את הפגיעות.
זה לא היה חודש טוב עבור פייסבוק. זה כבר היה בעיות אימות טלפוני ובתחילת השבוע הודתה החברה כי הודעות ה- SMS הזבל שהיא שולחת למשתמשים היו למעשה באג.
כיצד לצלם צילום מסך ארוך - -