Ang mga Tinder account ay halos nai-swipe mismo sa mga kamay ng mga hacker matapos malaman ng mga mananaliksik na nakapag-login sila sa mga account ng gumagamit gamit ang isang numero lamang ng telepono.
Habang naayos na ang kahinaan, malinaw na nag-aalala na maaaring mailantad ang kasaysayan ng chat at mga larawan.
kung paano i-restart ang ps4 sa ligtas na mode
Ang kahinaan, na kung saan ay bumubuo sa isang halo ng dalawang bagay: Ang Tinder, at ang paggamit ng Tinder ng Account Kit ng Facebook, ay maaaring magbigay sa mga nakakahamak na hacker o maasim na ex na pag-access sa mga account. Kung paano ito dapat gumana ay medyo simple: kapag pipiliin ng isang gumagamit na mag-log in sa app gamit ang kanilang numero ng telepono, ire-redirect sila sa Account Kit ng Facebook. Sa pamamagitan ng pag-text ng isang code ng kumpirmasyon sa gumagamit, na pagkatapos ay nai-type ito sa website ng Account Kit, nagawang mapatunayan ng Account Kit at maipasa ang token sa pag-access sa Tinder. Gayunpaman, iyon ay kung saan nagaganap ang kahinaan.
BASAHIN SA SUSUNOD: Tinder Plus kumpara sa Tinder Gold
Tingnan ang kaugnay Inamin ng Facebook ang mga teksto ng spam sa dalawang-factor na pagpapatotoo ng mga numero ng telepono ay sanhi ng isang bug Nagbibigay-daan sa iyo ang Tinder Gold na magbayad upang makita kung sino ang may gusto sa iyo, narito kung paano ito ihinahambing sa Tinder Plus sa UK Tinder para sa negosyo? Hindi, talaga
Bagaman dapat suriin ng Tinder API ang client ID sa token ng Kit ng Facebook, hindi. Nangangahulugan ito na ang mga magsasalakay ay maaaring gumamit ng isang token mula sa isa sa maraming iba pang mga app na gumagamit ng Account Kit, upang makakuha ng pagpasok sa kanilang account.
Ang kahinaan ay natuklasan ng tagapagtatag ng AppSecure na si Anand Prakash, na naglathala ng a post sa blog na nagdedetalye ng kanyang mga natuklasan. Nag-cash siya ng $ 5,000 mula sa programa ng Bug Bounty ng Facebook at $ 1,250 mula sa Tinder bilang gantimpala.
Karaniwang may ganap na kontrol ang umaatake sa account ng biktima ngayon - makakabasa siya ng mga pribadong chat, buong personal na impormasyon, mag-swipe sa iba pang mga profile ng gumagamit sa kaliwa o kanan atbp. Sumulat si Prakash.
Sa kabutihang palad, tila walang mga account na nasira bago na-patch ang kahinaan.
Hindi naging magandang buwan para sa Facebook. Nagkakaroon na ito mga isyu sa pagpapatotoo sa telepono at mas maaga sa linggong ito, inamin ng kumpanya na ang mga spam na notification sa SMS na ipinapadala nito sa mga gumagamit ay, sa katunayan, isang bug.
paano pipiliin ng facebook kung sino ang lalabas sa chat sidebar?