Akaun pengikat hampir dileret ke tangan penggodam setelah penyelidik mendapati mereka dapat log masuk ke akaun pengguna dengan hanya menggunakan nombor telefon.
Walaupun kerentanan sekarang diperbaiki, jelas membimbangkan bahawa riwayat sembang dan foto mungkin terdedah.
adakah tv pintar samsung saya mempunyai bluetooth
Kerentanan, yang disebabkan oleh gabungan dua perkara: Tinder, dan penggunaan Kit Akaun Facebook oleh Tinder, boleh memberi peretas berbahaya atau akses kepada akaun. Cara kerjanya cukup mudah: apabila pengguna memilih untuk log masuk ke aplikasi menggunakan nombor telefon mereka, mereka akan diarahkan ke Kit Akaun Facebook. Dengan menghantar kod pengesahan kepada pengguna, yang kemudian memasukkannya ke laman web Kit Akaun, Kit Akaun dapat mengesahkan dan memberikan token akses ke Tinder. Namun, di sinilah kerentanan berlaku.
BACA SETERUSNYA: Tinder Plus berbanding Tinder Gold
Lihat berkaitan Facebook mengakui teks spamnya kepada nombor telefon pengesahan dua faktor disebabkan oleh pepijat Tinder Gold membolehkan anda membayar untuk melihat siapa yang menyukai anda, berikut adalah perbandingannya dengan Tinder Plus di UK Tinder untuk perniagaan? Tidak, betul-betul
Walaupun Tinder API semestinya memeriksa ID pelanggan di token Kit Akaun Facebook, itu bukan. Ini bermaksud penyerang dapat menggunakan token dari salah satu dari banyak aplikasi lain yang menggunakan Account Kit, untuk masuk ke akaun mereka.
Kerentanan itu ditemui oleh pengasas AppSecure, Anand Prakash, yang menerbitkan sebuah catatan blog memperincikan penemuannya. Dia mendapat wang tunai $ 5,000 dari program Bug Bounty Facebook dan $ 1,250 dari Tinder sebagai hadiah.
Penyerang pada dasarnya mempunyai kawalan penuh ke atas akaun mangsa sekarang - dia dapat membaca sembang peribadi, maklumat peribadi penuh, meleret profil pengguna lain ke kiri atau kanan dll. Prakash menulis.
Nasib baik, tidak ada akaun yang dirobohkan sebelum kerentanan itu diperbaiki.
Ini bukan bulan yang baik untuk Facebook. Sudah ada masalah pengesahan telefon dan awal minggu ini, syarikat itu mengakui bahawa pemberitahuan SMS spam yang dihantarnya kepada pengguna sebenarnya adalah pepijat.
cara bermain permainan xbox one saya di komputer