تم تقريبًا تمرير حسابات Tinder مباشرة في أيدي المتسللين بعد أن وجد الباحثون أنهم قادرون على تسجيل الدخول إلى حسابات المستخدمين باستخدام رقم هاتف فقط.
بينما تم إصلاح الثغرة الأمنية الآن ، فمن الواضح أنه من المقلق أن يتم كشف سجل الدردشة والصور.
كيف اجد سجل بحث جوجل؟
الثغرة الأمنية ، التي ترجع إلى مزيج من شيئين: Tinder ، واستخدام Tinder لمجموعة حساب Facebook ، كان من الممكن أن يمنح المتسللين الضارين أو الوصول إلى الحسابات. طريقة العمل بسيطة للغاية: عندما يختار المستخدم تسجيل الدخول إلى التطبيق باستخدام رقم هاتفه ، ستتم إعادة توجيهه إلى Facebook Account Kit. من خلال إرسال رمز تأكيد إلى المستخدم ، الذي يكتبه بعد ذلك في موقع Account Kit ، يكون Account Kit قادرًا على المصادقة وتمرير رمز الوصول إلى Tinder. ومع ذلك ، هذا هو المكان الذي تحدث فيه الثغرة الأمنية.
اقرأ التالي: Tinder Plus مقابل Tinder Gold
انظر ذات الصلة يعترف Facebook بأن رسائل البريد العشوائي الخاصة به لأرقام هواتف المصادقة ثنائية العوامل ناتجة عن خطأ يتيح لك Tinder Gold الدفع لمعرفة من يحبك ، وإليك كيفية مقارنته بـ Tinder Plus في المملكة المتحدة Tinder للأعمال؟ لا حقا
بينما كان من المفترض أن تتحقق Tinder API من معرّف العميل على رمز Facebook Account Kit المميز ، إلا أنها لم تكن كذلك. هذا يعني أن المهاجمين يمكنهم استخدام رمز مميز من أحد التطبيقات العديدة الأخرى التي تستخدم Account Kit ، للدخول إلى حساباتهم.
تم اكتشاف الثغرة الأمنية بواسطة مؤسس AppSecure ، أناند براكاش ، الذي نشر ملف مشاركة مدونة بالتفصيل النتائج التي توصل إليها. حصل على 5000 دولار من برنامج Bug Bounty على Facebook و 1250 دولارًا من Tinder كمكافأة.
يتمتع المهاجم بشكل أساسي بالسيطرة الكاملة على حساب الضحية الآن - يمكنه قراءة الدردشات الخاصة والمعلومات الشخصية الكاملة وتمرير ملفات تعريف المستخدمين الأخرى إلى اليسار أو اليمين وما إلى ذلك. كتب براكاش.
لحسن الحظ ، لا يبدو أنه تم اختراق أي حسابات قبل تصحيح الثغرة الأمنية.
لم يكن شهرًا جيدًا لفيسبوك. لقد تم بالفعل مشاكل مصادقة الهاتف وفي وقت سابق من هذا الأسبوع ، اعترفت الشركة بأن إشعارات الرسائل القصيرة العشوائية التي كانت ترسلها إلى المستخدمين كانت في الواقع خطأ.
كيفية استخدام الاحتفاظ بالمخزون في ماين كرافت