Des pirates peuvent infiltrer les comptes Tinder avec un simple numéro de téléphone

Par

le

Un programmeur informatique a révélé comment il était capable de pirater des comptes Tinder en utilisant juste un numéro de téléphone.

Le hacker éthique indien, Anand Prakash, qui a gagné des primes pour le signalement de bugs par le passé, a encore frappé. Prakash a récemment découvert une vulnérabilité permettant d’infiltrer les comptes Tinder.

La vulnérabilité permettait à un attaquant d’accéder à un compte Tinder, en particulier sur les comptes de personnes ayant utilisé leur numéro de téléphone mobile pour se connecter. Prakash a remarqué que cela était exploitable avec une vulnérabilité dans Account Kit de Facebook. En termes plus simples, les applications Web et mobiles Tinder permettent aux utilisateurs d’utiliser leurs numéros de mobile pour se connecter, et ce service de connexion est fourni par Account Kit (Facebook). Comme cela a été précisé, les vulnérabilités mentionnées ont été rapidement bouchées par les équipes d’ingénierie de Facebook et Tinder.

Lorsqu’un utilisateur clique sur Connexion avec un numéro de téléphone sur Tinder, il est redirigé vers Accountkit.com pour se connecter. Si l’authentification est réussie, Account Kit transmet le jeton d’accès (token) à Tinder pour la connexion.

Toutefois, comme l’a constaté Prakash, l’API Tinder ne vérifiait pas l’ID client sur le jeton fourni par Account Kit. Cela a permis à l’attaquant d’utiliser le jeton d’accès de toute autre application fourni par Account Kit pour prendre en charge les comptes Tinder réels des autres utilisateurs. Ce qui signifie qu’une vulnérabilité sur Account Kit autorisait l’accès au compte Account Kit d’un utilisateur en utilisant simplement son numéro de téléphone. Une fois dedans, l’attaquant pourrait obtenir le jeton d’accès Account Kit de l’utilisateur dans les cookies (aks). Après cela, l’attaquant pourrait utiliser le token pour se connecter au compte Tinder de l’utilisateur à l’aide de l’API vulnérable.

Au total, Anand Prakash a reçu 1 250 dollars de la part de Tinder et 5 000 dollars de Facebook pour avoir découvert le bug.


Articles recommandés