Appsecure ha descubierto una vulnerabilidad en la que personas malintencionadas pueden tomar posesión de las cuentas de los usuarios con solo su número de teléfono.
Se ha descubierto una nueva vulnerabilidad en la aplicación Tinder, que se utiliza principalmente con fines de citas en Turquía. Según un nuevo informe de Appsecure, los piratas informáticos que usaron solo los números de teléfono de los usuarios en el nuevo ataque lograron apoderarse de las cuentas.
El ataque se aprovechó de dos vulnerabilidades separadas. Una de estas vulnerabilidades proviene del kit de creación automática de cuentas de Facebook y la otra es de Tinder. Los piratas informáticos, que superaron la vulnerabilidad en el kit de apertura automática de cuentas de Facebook con una aplicación simple, obtuvieron acceso a las cuentas cambiando la configuración de seguridad de Tinder después de conocer el número de teléfono de las personas.
En realidad, esta acción por sí sola no debería haber sido suficiente para apoderarse de la cuenta, pero la aplicación del kit de cuenta de Tinderda también tiene una vulnerabilidad. El sistema de inicio de sesión de Tinder no verifica los números de identificación de acceso en función de la identidad de las personas. Las vulnerabilidades combinadas permitieron a los piratas informáticos obtener un control total sobre el perfil de usuario y los chats, comenzando con un número de teléfono.
Appsecure, que detectó con éxito vulnerabilidades en Facebook y Twitter, recibió una recompensa de $ 5,000 y $ 1,250 por parte de las empresas. Todavía no ha habido ninguna explicación de Facebook y Tinder sobre la vulnerabilidad recién detectada.
Fuente: https://www.theverge.com/2018/2/21/17036514/tinder-vulnerability-account-takeover-accountkit-login
