یک محقق امنیتی به نام Anand Prakash، آسیب پذیری حسابهای Tinder و نحوه استفاده از کیت حساب را کشف نمود به گفته این محقق امنیتی با آسیب پذیر شدن حساب Tinder، هکرها میتوانند به شماره تلفنها و پیامهای خصوصی قربانی دسترسی پیدا کنند برهمین اساس Prakash ضعفهای امنیتی دو حساب Tinder و Facebook را افشا کرد.
کیت حساب فیسبوک چیست؟
کیت حساب فیس بوک به حساب توسعه داده شده شخص ثالث اجازه میدهد برنامههای خود را با استفاده از تنها یک آدرس ایمیل یا شماره تلفن ثبت کند و وارد سیستم گردد. زمانی که کاربران این اطلاعات را وارد میکند، برای دسترسی به حسابهای آنها یک کد تأییدیه ارسال میشود اپلیکیشن Tinder فقط یکی از حسابهایی است که از کیت حساب برای مدیریت ورود به سیستم استفاده میکند.
کیت حساب به iOS و Android محدود نمیشود. همچنین در برنامههای کاربردی وب و وب همراه، با فعال یا غیر فعال کردن جاوا اسکریپت پشتیبانی میشود. کیت حساب در اینترنت اکسپلوررنسخه 10 و نسخه های بعدی، Edge، Chrome، Firefox،Safari و Opera پشتیبانی میگردد. این حساب در حال حاضر با بیش از 230 کدهای کشور و بیش از 40 زبان کار میکند.
چگونه از آسیب پذیری کیت حساب، سوء استفاده شده است؟
با این حال،Prakash اشاره کرد که نقص در Account Kit میتواند هکرها را مجاز به استفاده از نشانههای دسترسی به کوکی کاربر، قطعات دادهها و تاریخ که در مرورگر کیت حساب دچار آسیب پذیری شده است به آن دسترسی داشته باشند و همچنین مهاجم میتواند فقط با استفاده از شماره تلفن خود به هر حساب کاربری، کاربر و رمز کوکی حساب کاربر دسترسی پیدا کنند.
هکرها میتوانند به راحتی این آسیب را به یک آسیب پذیری زنجیرهای تبدیل کنند، Prakash گفت: همه هکرها نیاز به یک شماره تلفن جهت ارتباط به یک حساب کیت دارند. در ادامه توضیح داد: Tinder API ، شناسه مشتری را در کیت حساب کنترل نمینماید به همین دلیل هکرها از این مورد سوء استفاده نموده و به حساب Tinder دیگران دسترسی پیدا میکنند.
چه بیاموزیم؟
سازمانها و شرکتهایی که در حال توسعه و گسترش هستند باید خط تجارت خود را با امنیت دادههای شرکت جدا نمایند و سیستم احراز هویت را برای شرکت خود ایجاد نموده تا بتوانند هویت کارکنان شرکت را حفظ نمایند.
بیشتر خطرات امنیتی بر روی هویت کاربران در حساب کیت میباشد که باید امنیت آن برقرار گردد. بنابراین باید بهترین شیوه از امنیت را برای حسابهای کیت کاربران ایجاد شود. امنیت Tinderو Account Kit بسیار اهمیت دارد پس برای برقرای امنیت این دو برنامه و بالا بردن چرخه فعالیت آنها همواره باید برنامهریزی و نظارت برروی زیرساخت آنها انجام گردد.
کیت حساب فیس بوک به حساب توسعه داده شده شخص ثالث اجازه میدهد برنامههای خود را با استفاده از تنها یک آدرس ایمیل یا شماره تلفن ثبت کند و وارد سیستم گردد. زمانی که کاربران این اطلاعات را وارد میکند، برای دسترسی به حسابهای آنها یک کد تأییدیه ارسال میشود اپلیکیشن Tinder فقط یکی از حسابهایی است که از کیت حساب برای مدیریت ورود به سیستم استفاده میکند.
کیت حساب به iOS و Android محدود نمیشود. همچنین در برنامههای کاربردی وب و وب همراه، با فعال یا غیر فعال کردن جاوا اسکریپت پشتیبانی میشود. کیت حساب در اینترنت اکسپلوررنسخه 10 و نسخه های بعدی، Edge، Chrome، Firefox،Safari و Opera پشتیبانی میگردد. این حساب در حال حاضر با بیش از 230 کدهای کشور و بیش از 40 زبان کار میکند.
چگونه از آسیب پذیری کیت حساب، سوء استفاده شده است؟
با این حال،Prakash اشاره کرد که نقص در Account Kit میتواند هکرها را مجاز به استفاده از نشانههای دسترسی به کوکی کاربر، قطعات دادهها و تاریخ که در مرورگر کیت حساب دچار آسیب پذیری شده است به آن دسترسی داشته باشند و همچنین مهاجم میتواند فقط با استفاده از شماره تلفن خود به هر حساب کاربری، کاربر و رمز کوکی حساب کاربر دسترسی پیدا کنند.
هکرها میتوانند به راحتی این آسیب را به یک آسیب پذیری زنجیرهای تبدیل کنند، Prakash گفت: همه هکرها نیاز به یک شماره تلفن جهت ارتباط به یک حساب کیت دارند. در ادامه توضیح داد: Tinder API ، شناسه مشتری را در کیت حساب کنترل نمینماید به همین دلیل هکرها از این مورد سوء استفاده نموده و به حساب Tinder دیگران دسترسی پیدا میکنند.
چه بیاموزیم؟
سازمانها و شرکتهایی که در حال توسعه و گسترش هستند باید خط تجارت خود را با امنیت دادههای شرکت جدا نمایند و سیستم احراز هویت را برای شرکت خود ایجاد نموده تا بتوانند هویت کارکنان شرکت را حفظ نمایند.
بیشتر خطرات امنیتی بر روی هویت کاربران در حساب کیت میباشد که باید امنیت آن برقرار گردد. بنابراین باید بهترین شیوه از امنیت را برای حسابهای کیت کاربران ایجاد شود. امنیت Tinderو Account Kit بسیار اهمیت دارد پس برای برقرای امنیت این دو برنامه و بالا بردن چرخه فعالیت آنها همواره باید برنامهریزی و نظارت برروی زیرساخت آنها انجام گردد.
موسسه نرم افزاری ترسیم رایانه شرق