গবেষকরা কেবল একটি ফোন নম্বর ব্যবহার করে ব্যবহারকারীর অ্যাকাউন্টগুলিতে লগইন করতে সক্ষম হবার পরে টিন্ডার অ্যাকাউন্টগুলি হ্যাকারদের হাতে প্রায় সোজা হয়ে যায়।
দুর্বলতা এখন ঠিক হয়ে গেলেও স্পষ্টতই উদ্বেগজনক যে চ্যাট ইতিহাস এবং ফটোগুলি প্রকাশিত হতে পারে।
কীভাবে ক্রোম থেকে বুকমার্কগুলি অনুলিপি করবেন
দুর্বলতা, যা দুটি জিনিসের সংমিশ্রণে নেমেছিল: টিন্ডার এবং ফেসবুকের অ্যাকাউন্ট কিটটির টিন্ডার ব্যবহার, অ্যাকাউন্টগুলিতে দূষিত হ্যাকার বা টক এক্সের অ্যাক্সেস দিতে পারে। এটি কীভাবে কাজ করা উচিত তা বেশ সহজ: যখন কোনও ব্যবহারকারী তাদের ফোন নম্বর ব্যবহার করে অ্যাপ্লিকেশনটিতে লগ ইন করতে বেছে নেন, তাদের ফেসবুকের অ্যাকাউন্ট কিটে পুনর্নির্দেশ করা হবে। ব্যবহারকারীর কাছে একটি নিশ্চিতকরণ কোডটি টেক্সট করে, যিনি এটি অ্যাকাউন্ট কিট ওয়েবসাইটে টাইপ করেন, অ্যাকাউন্ট কিট টিন্ডারে অ্যাক্সেস টোকনকে প্রমাণীকরণ এবং পাস করতে সক্ষম হয়। এটি, যেখানে দুর্বলতা ঘটে।
পরবর্তী পড়ুন: টিন্ডার প্লাস বনাম টিন্ডার গোল্ড
সম্পর্কিত দেখুন ফেসবুক তার স্প্যাম পাঠ্যগুলিকে দ্বি-গুণক প্রমাণীকরণ ফোন নম্বরগুলিতে স্বীকার করে একটি বাগের কারণে হয়েছিল টিন্ডার গোল্ড আপনাকে কে ইউ কে পছন্দ করে তা দেখার জন্য আপনাকে অর্থ প্রদান করতে দেয়, এখানে এটি কীভাবে যুক্তরাজ্যের টিন্ডার প্লাসের সাথে তুলনা করে ব্যবসায়ের জন্য টিন্ডার? সত্যিই না
যদিও টিন্ডার এপিআই'র ফেসবুক অ্যাকাউন্ট কিট টোকনে ক্লায়েন্ট আইডিটি পরীক্ষা করা উচিত ছিল, এটি ছিল না। এর অর্থ হ'ল আক্রমণকারীরা তাদের অ্যাকাউন্টে প্রবেশের জন্য অ্যাকাউন্ট কিট ব্যবহার করে এমন আরও অনেক অ্যাপের একটির একটি টোকেন ব্যবহার করতে পারে।
দুর্বলতা অ্যাপসিকিউরের প্রতিষ্ঠাতা আনন্দ প্রকাশ আবিষ্কার করেছিলেন, যিনি একটি প্রকাশ করেছিলেন ব্লগ পোস্ট তার অনুসন্ধান বিশদ। তিনি ফেসবুকের বাগ বাউন্টি প্রোগ্রাম থেকে $ 5,000 এবং পুরষ্কার হিসাবে টিন্ডার থেকে 1,250 ডলার আউট করেছিলেন।
আক্রমণকারীটির মূলত এখন ভুক্তভোগীর অ্যাকাউন্টে পুরো নিয়ন্ত্রণ রয়েছে - তিনি ব্যক্তিগত চ্যাট, সম্পূর্ণ ব্যক্তিগত তথ্য পড়তে, অন্যান্য ব্যবহারকারীর প্রোফাইল বাম বা ডানদিকে সোয়াইপ করতে পারেন ইত্যাদি প্রকাশ করেছেন।
ভাগ্যক্রমে, দুর্বলতার হাতছাড়া হওয়ার আগে কোনও অ্যাকাউন্টই ভাঙা হয়েছে বলে মনে হয় না।
এটি ফেসবুকের জন্য খুব ভাল মাস হয়নি। এটি ইতিমধ্যে হয়েছে ফোন-প্রমাণীকরণের সমস্যা এবং এই সপ্তাহের শুরুতে, সংস্থাটি স্বীকার করেছে যে এটি স্প্যামি এসএমএস বিজ্ঞপ্তিগুলি ব্যবহারকারীদের কাছে পাঠিয়েছিল, এটি আসলে একটি বাগ ছিল।
সিম কার্ড ছাড়াই আইফোন ব্যবহার করা
