Zunderkonten wurden Hackern fast direkt in die Hände gewischt, nachdem Forscher herausgefunden hatten, dass sie sich mit nur einer Telefonnummer bei Benutzerkonten anmelden konnten.
Obwohl die Sicherheitsanfälligkeit jetzt behoben ist, ist es offensichtlich besorgniserregend, dass der Chatverlauf und die Fotos aufgedeckt worden sein könnten.
So konfigurieren Sie den TP-Link-Extender
Die Schwachstelle, die auf eine Mischung aus zwei Dingen zurückzuführen war: Tinder und Tinders Verwendung des Facebook Account Kits könnten böswilligen Hackern oder saueren Ex-Benutzern Zugriff auf Konten gewährt haben. Wie es funktionieren sollte, ist ganz einfach: Wenn sich ein Benutzer mit seiner Telefonnummer bei der App anmeldet, wird er zum Account Kit von Facebook weitergeleitet. Durch das Senden eines Bestätigungscodes an den Benutzer, der ihn dann in die Account Kit-Website eingibt, kann sich das Account Kit authentifizieren und den Zugriffstoken an Tinder weitergeben. Hier tritt jedoch die Schwachstelle auf.
WEITERLESEN: Tinder Plus gegen Tinder Gold
Siehe verwandte Facebook gibt zu, dass seine Spam-Texte für die Zwei-Faktor-Authentifizierung von Telefonnummern durch einen Fehler verursacht wurden Mit Tinder Gold kannst du bezahlen, um zu sehen, wer dich mag. So schneidet es im Vergleich zu Tinder Plus in Großbritannien ab Tinder fürs Geschäft? Nicht wirklich
Während die Tinder-API die Client-ID auf dem Account-Kit-Token von Facebook hätte überprüfen sollen, war dies nicht der Fall. Dies bedeutete, dass Angreifer einen Token aus einer der zahlreichen anderen Apps verwenden konnten, die Account Kit verwenden, um sich Zugang zu ihrem Konto zu verschaffen.
Die Schwachstelle wurde vom Gründer von AppSecure, Anand Prakash, entdeckt, der eine Blogeintrag detailliert seine Erkenntnisse. Er kassierte 5.000 US-Dollar aus dem Bug-Bounty-Programm von Facebook und 1.250 US-Dollar von Tinder als Belohnung.
Der Angreifer hat jetzt im Grunde die volle Kontrolle über das Konto des Opfers – er kann private Chats, vollständige persönliche Informationen lesen, andere Benutzerprofile nach links oder rechts streichen usw., schrieb Prakash.
Glücklicherweise scheint kein Konto eingebrochen worden zu sein, bevor die Schwachstelle gepatcht wurde.
Es war kein guter Monat für Facebook. Es hat schon Probleme mit der Telefonauthentifizierung und Anfang dieser Woche gab das Unternehmen zu, dass die Spam-SMS-Benachrichtigungen, die es an die Benutzer sendete, tatsächlich ein Fehler waren.
So senden Sie eine E-Mail an Google