Accueil / NewZilla.NET / Tinder contraint de corriger une faille de sécurité majeure

Tinder contraint de corriger une faille de sécurité majeure

Philippe CROUZILLACQ 23 février 2018

 

Selon des chercheurs en sécurité informatique il suffisait de connaître le numéro de téléphone d’une personne pour prendre le contrôle de son compte Tinder et accéder à l’ensemble des conversations menées sur l’application.

 

Cette fois-ci c’est Appsecure qui a levé le lièvre.

Un lièvre qui avait tous les traits d’une faille de sécurité majeure (décrite sur la plateforme Medium par les experts d’Appsecure) affectant l’application de dating géolocalisée sur mobile Tinder.

La faille de sécurité, aujourd’hui corrigée, exploitait le module de connexion de Tinder et l’API de Facebook sur lequel il est basé.

Afin de récupérer les informations (âge, sexe, photo de profil, centre d’intérêt, etc.) des utilisateurs de son service, Tinder a besoin de Facebook.

À la création d’un compte, l’utilisateur peut se connecter directement au réseau social, ou bien créer un compte à l’aide d’un numéro de téléphone, qui sera ensuite vérifié dans la base de données de Facebook.

tinder-security-flaw-faille-de-sécurité

Le « jeton » d’accès (« token ») n’avait besoin d’aucune validation de la part de Tinder.

Autrement dit, en entrant le numéro de téléphone d’une personne, Facebook confirmait son identité, envoyait les données à Tinder, qui ne vérifiait pas en retour qu’il s’agissait de la même personne.

Le pirate pouvait alors accéder à l’intégralité du compte, avec l’ensemble des conversations menées sur l’application, le tout à l’aide d’un simple numéro de téléphone.

Pour la petite histoire, Appsecure a contacté les deux entreprises pour leur faire part de leur découverte, et a été récompensé 5000 dollars par Facebook et 1250 dollars par Tinder.

Une misère par rapport à l’importance de la faille de sécurité découverte.

[wpedon id= »26112″]

Vous avez aimé cette information? Partagez-là avec vos amis, votre réseau ou votre communauté. Cet article vous a été utile? Il vous a rendu service? NewZilla.NET a besoin de VOUS. Vous pouvez nous aider en faisant un don sécurisé à partir de 1 euro. Cela mérite une explication. On vous dit tout ICI. Merci pour votre soutien et pour votre fidélité à NewZilla.NET.

facebookFacebook
TwitterTwitter

Sujets

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Le site Internet NewZilla.NET a été déclaré à la CNIL et enregistré sous le numéro 1497760.
© Copyright 2010-2024 - NewZilla.NET - Tous droits réservés