Tinder アカウントは、電話番号だけを使用してユーザー アカウントにログインできることが研究者によって判明した後、ほとんどハッカーの手に渡った.
現在、脆弱性は修正されていますが、チャットの履歴や写真が流出した可能性が懸念されています。
スタート メニューが Windows 10 で動作しない
この脆弱性は、Tinder と Tinder による Facebook のアカウント キットの使用という 2 つの要因が絡み合ったものであり、悪意のあるハッカーや悪質な exe にアカウントへのアクセスを許可する可能性があります。ユーザーが電話番号を使用してアプリにログインすることを選択すると、Facebook のアカウント キットにリダイレクトされます。ユーザーに確認コードをテキスト メッセージで送信し、ユーザーがそれをアカウント キットの Web サイトに入力すると、アカウント キットが認証され、アクセス トークンを Tinder に渡すことができます。しかし、そこが脆弱性が発生する場所です。
次に読む: Tinder PlusとTinder Gold
関連するものを見る Facebookは、2要素認証の電話番号へのスパムテキストがバグによって引き起こされたことを認めています Tinder Gold ではお金を払って誰があなたを好きかを確認できます。英国の Tinder Plus との比較 ビジネスの火口?いや、本当に
Tinder API は Facebook のアカウント キット トークンのクライアント ID をチェックする必要がありましたが、実際にはチェックされていませんでした。これは、攻撃者がアカウント キットを使用する他の多数のアプリのいずれかからトークンを使用して、自分のアカウントにアクセスできることを意味しました。
この脆弱性は、AppSecure の創設者である Anand Prakash によって発見されました。 ブログ投稿 彼の調査結果を詳しく説明します。彼は Facebook のバグ報奨金プログラムから ,000、報酬として Tinder から ,250 を現金化しました。
攻撃者は、基本的に被害者のアカウントを完全に制御できるようになりました。プライベート チャットや完全な個人情報を読んだり、他のユーザー プロファイルを左右にスワイプしたりすることができます。
幸いなことに、脆弱性が修正される前に侵入されたアカウントはないようです。
Facebookにとって良い月ではありませんでした。すでにかかっている 電話認証の問題 そして今週初め、同社はユーザーに送信していたスパムのような SMS 通知が実際にはバグだったことを認めました。
Facebookで他の人としてあなたのプロフィールを表示する方法