Обнаруженная экспертом уязвимость позволяет взломать аккаунты Tinder с помощью номера телефона. Как утверждает специалист, злоумышленникам может понадобиться всего несколько секунд для получения полного контроля над профилем жертвы.
Благодаря использованию этой бреши киберпреступники могут получить доступ к личной информации, чатам и даже общаться с другими пользователями сервиса для знакомств от лица жертвы.
Ананд Пракаш (Anand Prakash), обнаруживший баг исследователь, пишет, что брешь существует в Facebook Account Kit. Facebook Account Kit представляет собой программное обеспечение, позволяющее проходить процедуру авторизации без ввода пароля. Таким образом, злоумышленник мог получить доступ к учетной записи при помощи одного номера телефона.
Оказалось, что разработчики Tinder встроили Facebook Account Kit в свое приложение. На данный момент неизвестно, сколько именно пользователей пострадали от эксплуатации этой уязвимости.
Для использования бреши атакующий должен ввести номер телефона жертвы в «new_phone_number» в API-запросе.
«Обратите внимание, что Account Kit не верифицирует номер телефона с помощью одноразового пароля. Злоумышленник может ввести любой номер телефона и попасть в учетную запись», — пишет эксперт.
Исследователь опубликовал видео, в котором продемонстрирована схеме подобной атаки:
Пракаш сообщил об обнаруженной проблеме разработчикам Facebook и Tinder, которые, к их чести, быстро устранили этот критический недостаток.
В Госдуме РФ завершено рассмотрение законопроекта о поправках, закрепляющих возможность подтверждения возраста с помощью MAX. Предложенные изменения приняты во втором и третьем чтении и ждут одобрения Совфеда.
Согласно сообщению Думы, при использовании мессенджера с этой целью паспорт уже не понадобится.
Подтверждать возраст через MAX можно будет в следующих случаях:
при покупке алкоголя, тоников, табака, а также кальянов и подобных им устройств;
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
