Як я зламав облікові записи Tinder за допомогою набору облікових записів Facebook і заробив 6 250 доларів США

Це публікується з дозволу Facebook відповідно до політики відповідального розголошення.

Вразливості, згадані в цьому дописі в блозі, швидко усунули інженерні команди Facebook та Tinder.

Ця публікація стосується вразливості щодо поглинання облікового запису, яку я виявив у програмі Tinder. Використовуючи це, зловмисник міг отримати доступ до облікового запису Tinder жертви, який, мабуть, використовував свій номер телефону для входу.

Це могло бути використано через вразливість у Facebook Account Kit, до якої Facebook нещодавно звертався.

Веб-програми та мобільні додатки Tinder дозволяють користувачам використовувати свої номери мобільних телефонів для входу в службу. І цю послугу входу надає Account Kit (Facebook).

Користувач натискає на Увійти за допомогою телефонного номера на tinder.com, а потім перенаправляється на Accountkit.com для входу. Якщо автентифікація успішна, тоді Комплект рахунків передає маркер доступу Tinder для входу.

Цікаво, що Tinder API не перевіряв ідентифікатор клієнта на маркері, наданому Account Kit.

Це дозволило зловмисникові використовувати будь-який маркер доступу будь-якої іншої програми, наданий Account Kit, для передачі реальних облікових записів Tinder інших користувачів.

Опис вразливості

Account Kit - це продукт Facebook, який дозволяє людям швидко реєструватися та входити в деякі зареєстровані програми, використовуючи лише свої номери телефонів або адреси електронної пошти, не потребуючи пароля. Він надійний, простий у використанні та дає користувачеві можливість вибору способу реєстрації в додатках.

Tinder - це мобільний додаток для пошуку та знайомства з новими людьми. Це дозволяє користувачам сподобатися або не подобатися іншим користувачам, а потім перейти до чату, якщо обидві сторони провели пальцем праворуч.

У наборі облікових записів була вразливість, через яку зловмисник міг отримати доступ до будь-якого облікового запису облікового запису користувача, просто використовуючи номер телефону. Опинившись, зловмисник міг потрапити до маркера доступу до набору облікових записів користувача, який міститься в їхніх файлах cookie (aks).

Після цього зловмисник може використовувати маркер доступу (aks) для входу в обліковий запис користувача Tinder за допомогою вразливого API.

Як мій подвиг працював покроково

Крок 1

Спочатку зловмисник увійшов би в обліковий запис набору жертви, ввівши номер телефону жертви у полі “ new_phone_number ” у запиті API, показаному нижче.

Зверніть увагу, що Account Kit не перевіряв відображення телефонних номерів за допомогою їх одноразового пароля. Зловмисник міг ввести будь-який номер телефону, а потім просто увійти в акаунт набору жертви.

Тоді зловмисник міг скопіювати з файлів cookie маркер доступу «aks» жертви програми Account Kit.

API вразливого облікового запису:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Ведучий: www.accountkit.com new_phone_number = [номер телефону vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [код запиту зловмисника] & command_code = 258822 & _____________________ 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = ЕТАП% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Крок No2

Тепер зловмисник просто повторює наступний запит, використовуючи скопійований маркер доступу “aks” жертви в API Tinder нижче.

Вони будуть зареєстровані в обліковому записі Tinder жертви. Тоді зловмисник в основному мав би повний контроль над рахунком жертви. Вони могли читати приватні чати, повну особисту інформацію та проводити, між іншим, профілі інших користувачів вліво або вправо.

API вразливого Tinder:

POST / v2 / auth / login / accountkit? Locale = uk HTTP / 1.1

Ведучий: api.gotinder.com

З'єднання: закрите

Довжина вмісту: 185

Походження: //tinder.com

версія програми: 1000000

платформа: веб

User-Agent: Mozilla / 5.0 (Macintosh)

тип вмісту: application / json

Прийняти: * / *

Реферер: //tinder.com/

Accept-Encoding: gzip, deflate

Мова прийняття: en-US, en; q = 0,9

{“Маркер”: ”ххх”, ”ідентифікатор”: ””}

Відео доказ концепції

Часова шкала

Обидві вразливості швидко виправили Tinder та Facebook. Facebook нагородив мене 5000 доларами США, а Tinder - 1250 доларів.

Я засновник AppSecure, спеціалізованої компанії з кібербезпеки, яка має багаторічний досвід та ретельний досвід. Ми тут, щоб захистити ваш бізнес та важливі дані від онлайнових та офлайн-загроз або вразливостей.

Ви можете зв’язатися з нами за адресою [email protected] або [email protected]