टिंडर खातों को हैकर्स के हाथों में लगभग स्वाइप कर दिया गया था, जब शोधकर्ताओं ने पाया कि वे सिर्फ एक फोन नंबर का उपयोग करके उपयोगकर्ता खातों में प्रवेश करने में सक्षम थे।
जबकि भेद्यता अब तय हो गई है, यह स्पष्ट रूप से चिंताजनक है कि चैट इतिहास और तस्वीरें उजागर हो सकती हैं।
इच्छा पर खोज इतिहास कैसे हटाएं
भेद्यता, जो दो चीजों के मिश्रण के लिए नीचे थी: टिंडर, और टिंडर द्वारा फेसबुक के अकाउंट किट का उपयोग, दुर्भावनापूर्ण हैकर्स या खट्टे एक्स को खातों तक पहुंच प्रदान कर सकता था। यह कैसे काम करना चाहिए यह काफी सरल है: जब कोई उपयोगकर्ता अपने फोन नंबर का उपयोग करके ऐप में लॉग इन करना चुनता है, तो उन्हें फेसबुक के अकाउंट किट पर रीडायरेक्ट कर दिया जाएगा। उपयोगकर्ता को एक पुष्टिकरण कोड भेजकर, जो इसे खाता किट वेबसाइट में टाइप करता है, खाता किट प्रमाणित करने और टिंडर को एक्सेस टोकन पास करने में सक्षम है। हालाँकि, यह वह जगह है जहाँ भेद्यता होती है।
आगे पढ़िए: टिंडर प्लस बनाम टिंडर गोल्ड
संबंधित देखें फेसबुक ने स्वीकार किया कि उसके स्पैम टेक्स्ट टू-फैक्टर ऑथेंटिकेशन फोन नंबर एक बग के कारण थे टिंडर गोल्ड आपको यह देखने के लिए भुगतान करने देता है कि आपको कौन पसंद करता है, यहां यूके में टिंडर प्लस की तुलना की गई है व्यापार के लिए टिंडर? सच में नहीं
जबकि टिंडर एपीआई को फेसबुक के अकाउंट किट टोकन पर क्लाइंट आईडी की जांच करनी चाहिए थी, लेकिन ऐसा नहीं था। इसका मतलब था कि हमलावर अपने खाते में प्रवेश पाने के लिए खाता किट का उपयोग करने वाले कई अन्य ऐप्स में से एक टोकन का उपयोग कर सकते हैं।
भेद्यता की खोज AppSecure के संस्थापक, आनंद प्रकाश ने की, जिन्होंने a प्रकाशित किया ब्लॉग भेजा उसके निष्कर्षों का विवरण। उन्होंने फेसबुक के बग बाउंटी प्रोग्राम से 5,000 डॉलर और टिंडर से 1,250 डॉलर इनाम के तौर पर भुनाए।
हमलावर का मूल रूप से अब पीड़ित के खाते पर पूरा नियंत्रण है - वह निजी चैट, पूर्ण व्यक्तिगत जानकारी पढ़ सकता है, अन्य उपयोगकर्ता प्रोफाइल को बाएं या दाएं स्वाइप कर सकता है आदि। प्रकाश ने लिखा।
सौभाग्य से, ऐसा लगता है कि भेद्यता को पैच करने से पहले कोई खाता नहीं तोड़ा गया था।
फेसबुक के लिए यह महीना अच्छा नहीं रहा। यह पहले से ही हो रहा है फोन प्रमाणीकरण मुद्दे और इस सप्ताह की शुरुआत में, कंपनी ने स्वीकार किया कि वह जो स्पैमी एसएमएस सूचनाएं उपयोगकर्ताओं को भेज रही थी, वह वास्तव में एक बग थी।
हार्ड ड्राइव आरपीएम कैसे खोजें