Специалисты по безопасности из AppSecure обнаружили комплексный баг, который позволял хакерам входить в учётные записи пользователей Tinder лишь по номеру их мобильного телефона, пишет TechSpot.
Уязвимость находилась в принадлежащем Facebook сервисе Account Kit, который позволяет людям входить в учётные записи по номеру телефона или почтовому адресу без использования пароля.
Представитель AppSecure Ананд Пракаш рассказывает, что API Tinder не проверял ID клиентов во время регистрации, а баг в Account Kit позволял злоумышленникам получить доступ к профилю любого пользователя, используя только номер телефона.
Вместе эти уязвимости давали хакеру полный контроль над аккаунтом: возможность просматривать личную переписку и информацию, а также общаться с другими пользователями. Facebook и Tinder оперативно устранили проблему.
За найденную ошибку эксперты AppSecure получили вознаграждение — $5,000 от Facebook и $1,250 от Tinder.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.