Badacze z Appsecure poinformowali o wykryciu nowej luki w zabezpieczeniach aplikacji randkowej Tinder, która umożliwiała całkowite przejęcie konta użytkownika. Atakujący musiał znać wyłącznie numer telefonu ofiary.
Proces ataku wymagał wykorzystania dwóch niezależnych luk. Jedna z nich znajdowała się bezpośrednio w Tinderze, druga natomiast w module logowania Facebooka, z którego aplikacja korzysta.
W taki sposób cyberprzestępca mógł przejąć konto, posiadając wyłącznie numer telefonu. Mógł uzyskać dostęp do wszystkich zdjęć, konwersacji itp.
Badacze poinformowali już o swoim odkryciu zarówno zespół Tindera, jak i Facebooka. Obie luki zostały załatane, a zespół Appsecure został nagrodzony kwotami 5000 i 1250 dolarów, w ramach istniejących programów bezpieczeństwa obu firm.
Źródło: The Verge