Tinder corrige une faille permettant une prise de contrôle du compte
1 min
Logiciel
Logiciel
Découverte par AppSecure, la vulnérabilité résidait dans l’utilisation par Tinder d’Account Kit de Facebook. Quand un utilisateur se sert du site ou de l’application Tinder, il peut se connecter avec son numéro de téléphone. Account Kit contrôle alors les informations et, en cas de correspondance, émet un jeton de sécurité validant l’authentification.
Problème, l’API Tinder ne vérifiait pas vraiment l’ID Client dans ce jeton. Un pirate connaissant la vulnérabilité pouvait donc en théorie utiliser n’importe quel autre jeton émis par Account Kit pour se connecter à un compte Tinder. Au vu du caractère très personnel des discussions sur Tinder, on comprend vite le problème.
Le chercheur Anand Prakash, qui rapporte la faille, indique que les détails sont désormais communiqués en accord avec Tinder et Facebook, puisque tout a été corrigé. Les deux entreprises ont respectivement récompensé de 1 250 et 5 000 dollars la découverte.
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?