Las cuentas de Tinder casi fueron pasadas directamente a manos de los piratas informáticos después de que los investigadores descubrieron que podían iniciar sesión en las cuentas de usuario usando solo un número de teléfono.
Si bien la vulnerabilidad ahora se solucionó, obviamente es preocupante que el historial de chat y las fotos puedan haber quedado expuestos.
¿Cómo encuentro el historial de búsqueda de Google?
La vulnerabilidad, que se debió a una combinación de dos cosas: Tinder, y el uso de Tinder del kit de cuenta de Facebook, podría haber dado acceso a las cuentas a piratas informáticos maliciosos o ex exagerados. Cómo debería funcionar es bastante simple: cuando un usuario elige iniciar sesión en la aplicación con su número de teléfono, será redirigido al kit de cuenta de Facebook. Al enviar un mensaje de texto con un código de confirmación al usuario, que luego lo escribe en el sitio web del kit de cuenta, el kit de cuenta puede autenticarse y pasar el token de acceso a Tinder. Sin embargo, ahí es donde ocurre la vulnerabilidad.
LEER SIGUIENTE: Tinder Plus versus Tinder Gold
Ver relacionados Facebook admite que sus mensajes de spam a números de teléfono de autenticación de dos factores fueron causados por un error Tinder Gold te permite pagar para ver a quién le gustas, así es como se compara con Tinder Plus en el Reino Unido ¿Tinder para negocios? No realmente
Si bien la API de Tinder debería haber estado verificando la identificación del cliente en el token del kit de cuenta de Facebook, no fue así. Esto significaba que los atacantes podían usar un token de una de las muchas otras aplicaciones que usan el kit de cuenta para ingresar a su cuenta.
La vulnerabilidad fue descubierta por el fundador de AppSecure, Anand Prakash, quien publicó un entrada en el blog detallando sus hallazgos. Cobró $ 5,000 del programa Bug Bounty de Facebook y $ 1,250 de Tinder como recompensa.
Básicamente, el atacante ahora tiene control total sobre la cuenta de la víctima: puede leer chats privados, información personal completa, deslizar otros perfiles de usuario hacia la izquierda o hacia la derecha, etc., escribió Prakash.
Afortunadamente, no parece que se hayan infiltrado cuentas antes de que se parcheara la vulnerabilidad.
No ha sido un buen mes para Facebook. Ya ha estado teniendo problemas de autenticación telefónica ya principios de esta semana, la compañía admitió que las notificaciones SMS de spam que estaba enviando a los usuarios eran, de hecho, un error.
cómo unirse a un amigo en unturned