Недостаток безопасности Tinder предоставил доступ к учетной записи через номер телефона

21.02.2018 23:49 48

Недостаток безопасности Tinder предоставил доступ к учетной записи через номер телефона

Исследователи безопасности в Appsecure нашли способ получить доступ к любому аккаунту Tinder через номер телефона. Эксплоит воспользовался недостатком программного обеспечения как в процессе входа в систему знакомств, так и в API Facebook, на котором он основан. Проблемы были исправлены с тех пор, но представляют собой довольно большой провал безопасности.

«Обе эти уязвимости были быстро исправлены Tinder и Facebook», - пишет Ананд Пракаш из AdSecure на Medium. Facebook и Tinder наградили компанию $ 5000 и $ 1250 соответственно за отчет. Это не первый отчет о недостатках безопасности Tinder, например, когда компания не смогла зашифровать пользовательские фотографии и (еще в 2014 году) показывала точные местоположения пользователей в течение нескольких месяцев.

Когда вы входите в Tinder, у вас есть возможность использовать свой номер телефона, который затем передается в учетную запись Facebook для аутентификации Tinder. Люди из Appsecure обнаружили, что они могут получить действительный токен доступа с запросом API к набору учетных записей Facebook с использованием номера телефона. Кроме того, система входа Tinder не проверяла эти токены доступа, чтобы убедиться, что они соответствуют идентификатору клиента связанного пользователя, а это означает, что любой действительный токен доступа может позволить кому-либо войти в вашу учетную запись Tinder.