Computer Security Facebook Aniquila um Bug que Se Apodera da Conta do Tinder

Facebook Aniquila um Bug que Se Apodera da Conta do Tinder

o facebook para bug da conta do tinder De todas as contas on-line que você possui, qual delas você menos preocuparia se fosse comprometida? Nenhum incidente desse tipo deve ser encarado de ânimo leve, mas é preciso dizer que as diferentes contas podem fornecer aos hackers diferentes tipos de informações, e algumas delas são mais valiosas que as demais.

Se um perfil em um painel de mensagens for invadido, por exemplo, as repercussões provavelmente serão insignificantes, especialmente se você estiver usando o referido painel de mensagens com um apelido. Se sua conta bancária for aberta, por outro lado, as coisas serão um pouco diferentes. Mas e as mídias sociais?

A maioria das pessoas usa sites de redes sociais diferentes com sua identidade real, e seus perfis do Facebook e Twitter geralmente contêm toneladas de informações que eles não gostariam de cair nas mãos erradas. Com o Tinder, os dados vazados podem causar ainda mais danos. É por isso que os usuários do aplicativo de namoro devem agradecer a Anand Prakash, um pesquisador de segurança que trabalha no AppSecure. Ele descobriu um bug que lhe permitia assumir várias contas do Tinder, mas decidiu não explorá-lo.

Não há muitos detalhes disponíveis no post Medium de Prakash, mas o pesquisador disse que divulgou a vulnerabilidade e que agora foi corrigida. O bug estava no Account Kit do Facebook, um sistema de autenticação desenvolvido pela gigante da mídia social que permite aos usuários criar e fazer login em contas usando apenas um número de telefone ou endereço de email. Com o Tinder, os usuários que possuem contas do Kit de conta podem fazer login digitando seu número de telefone e digitando a Senha de uso único (OTP) que recebem via SMS.

Prakash descobriu que, depois de fazer login no Tinder com seu próprio número de telefone, o Account Kit colocou um cookie que continha um token de acesso em seu dispositivo. Ele então tentou modificar as solicitações da API e trocou seu número de telefone por outro registrado no Account Kit e usado no Tinder. O pesquisador usou o mesmo token de acesso e o mesmo OTP e fez login com êxito na conta do Tinder associada ao segundo número de telefone.

Nesse caso, os dois telefones pertenciam à Prakash, mas você pode ver claramente como, com nada além de um número de telefone, um ator malicioso pode comprometer uma conta. E se eles conseguem entrar, não há limitações sobre o que eles podem acessar. Todo o histórico de bate-papo e outros detalhes pessoais estão disponíveis para você.

Depois de aprenderem sobre o bug, o Facebook e Tinder trabalharam com Prakash para consertá-lo, e mais tarde concederam a ele um total de US $6.250 como recompensa. No geral, foi uma divulgação exemplar de vulnerabilidade, e os fornecedores também merecem um tapinha nas costas por agirem rapidamente.

Os erros continuarão aparecendo no software, e não há nada que possamos fazer sobre isso. O que podemos esperar é que os mocinhos como Anand Prakash sejam os que os encontrarão primeiro.

Carregando...