Tinder corrige une faille permettant une prise de contrôle du compte

Découverte par AppSecure, la vulnérabilité résidait dans l’utilisation par Tinder d’Account Kit de Facebook. Quand un utilisateur se sert du site ou de l’application Tinder, il peut se connecter avec son numéro de téléphone. Account Kit contrôle alors les informations et, en cas de correspondance, émet un jeton de sécurité validant l’authentification.

Problème, l’API Tinder ne vérifiait pas vraiment l’ID Client dans ce jeton. Un pirate connaissant la vulnérabilité pouvait donc en théorie utiliser n’importe quel autre jeton émis par Account Kit pour se connecter à un compte Tinder. Au vu du caractère très personnel des discussions sur Tinder, on comprend vite le problème.

Le chercheur Anand Prakash, qui rapporte la faille, indique que les détails sont désormais communiqués en accord avec Tinder et Facebook, puisque tout a été corrigé. Les deux entreprises ont respectivement récompensé de 1 250 et 5 000 dollars la découverte.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !