Tinder-konton sopades nästan rakt i händerna på hackare efter att forskare fann att de kunde logga in på användarkonton med bara ett telefonnummer.
Även om sårbarheten nu är fixad är det uppenbarligen oroande att chatthistorik och foton kunde ha blivit exponerade.
hur man avblockerar skadlig nedladdning krom
Sårbarheten, som berodde på en blandning av två saker: Tinder och Tinders användning av Facebooks Account Kit, kunde ha gett skadliga hackare eller sur exes tillgång till konton. Hur det ska fungera är ganska enkelt: när en användare väljer att logga in på appen med sitt telefonnummer kommer de att omdirigeras till Facebooks kontosats. Genom att skicka en bekräftelsekod till användaren, som sedan skriver den på Account Kit-webbplatsen, kan Account Kit autentisera och skicka åtkomsttoken till Tinder. Det är dock där sårbarheten uppstår.
LÄS NÄSTA: Tinder Plus kontra Tinder Gold
Se relaterat Facebook medger sina skräpposttexter till tvåfaktorsautentisering telefonnummer orsakades av ett fel Med Tinder Gold kan du betala för att se vem som gillar dig. Så här jämförs det med Tinder Plus i Storbritannien Tinder för affärer? Nej verkligen
Medan Tinder API borde ha kontrollerat klient-ID: t på Facebooks konto-kit-token, så var det inte. Detta innebar att angripare kunde använda en token från en av de många andra appar som använder Account Kit för att få tillgång till sitt konto.
Sårbarheten upptäcktes av AppSecures grundare, Anand Prakash, som publicerade en blogginlägg som beskriver hans resultat. Han betalade ut med 5 000 dollar från Facebooks Bug Bounty-program och 1 250 dollar från Tinder som belöning.
Angriparen har i princip full kontroll över offrets konto nu - han kan läsa privata chattar, fullständig personlig information, svepa andra användarprofiler åt vänster eller höger etc. Prakash skrev.
Lyckligtvis verkar inga konton ha brutits in innan sårbarheten lappades.
Det har inte varit en bra månad för Facebook. Det har redan haft problem med telefonautentisering och tidigare i veckan medgav företaget att de spammiga SMS-meddelandena som skickades till användarna i själva verket var ett fel.
hur man lägger till någon på Apple Music