Tinder corrige une faille permettant une prise de contrôle du compte
Le 23 février 2018 à 09h12
1 min
Logiciel
Logiciel
Découverte par AppSecure, la vulnérabilité résidait dans l’utilisation par Tinder d’Account Kit de Facebook. Quand un utilisateur se sert du site ou de l’application Tinder, il peut se connecter avec son numéro de téléphone. Account Kit contrôle alors les informations et, en cas de correspondance, émet un jeton de sécurité validant l’authentification.
Problème, l’API Tinder ne vérifiait pas vraiment l’ID Client dans ce jeton. Un pirate connaissant la vulnérabilité pouvait donc en théorie utiliser n’importe quel autre jeton émis par Account Kit pour se connecter à un compte Tinder. Au vu du caractère très personnel des discussions sur Tinder, on comprend vite le problème.
Le chercheur Anand Prakash, qui rapporte la faille, indique que les détails sont désormais communiqués en accord avec Tinder et Facebook, puisque tout a été corrigé. Les deux entreprises ont respectivement récompensé de 1 250 et 5 000 dollars la découverte.
Le 23 février 2018 à 09h12
Commentaires (0)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vous