Из-за ошибки в Account Kit юзеры Tinder стали уязвимыми для хакерских атак
Загрузка…
Количество просмотров 27
Индийский программист Ананд Пракаш с широкой общественностью поделился собственной находкой, обнаруженной в интернет-сервисе Tinder.
Уполномоченный AppSecure Ананд Пракаш рассказывает, что API Tinder не проверял ID клиентов во время регистрации, а баг в Account Kit разрешал злоумышленникам получить доступ к профилю любого пользователя, используя только номер телефона. Специалист разъяснил, что контроль над профилем выбранной жертвы хакеры могут получить всего за несколько секунд. Пракаш предполагает, что злоумышленники могли просматривать чаты и личную информацию пользователей дейтинг-сервиса.
Разработчикам приложений стоит обратить внимание на то, как они используют инструмент Account Kit от фейсбук для идентификации пользователей. На телефон пользователя приходит текстовое сообщение с кодом подтверждения, который нужно ввести на сайте Account Kit.
При открытии учетной записи пользователем Tinder, использующим телефонный номер в качестве логина, сервис посредством сайта AccountKit.com проводит проверку, на самом ли деле этот человек является легитимным собственником профиля.
Ананд Пракаш — один из наилучших «белых» хакеров планеты. О найденной уязвимости Пракаш сразу оповестил представителям социальная сеть Facebook и Tinder, которые быстро исправили ошибку.
Дата добавления: Февраль 24, 2018
Размещено в рубрике: Актуальные новости