Comment j'ai piraté des comptes Tinder à l'aide du kit de compte Facebook et gagné 6250 $ en primes

Ceci est publié avec l'autorisation de Facebook dans le cadre de la politique de divulgation responsable.

Les vulnérabilités mentionnées dans ce billet de blog ont été rapidement corrigées par les équipes d'ingénierie de Facebook et Tinder.

Cet article concerne une vulnérabilité de prise de contrôle de compte que j'ai découverte dans l'application Tinder. En exploitant cela, un attaquant aurait pu accéder au compte Tinder de la victime, qui doit avoir utilisé son numéro de téléphone pour se connecter.

Cela aurait pu être exploité via une vulnérabilité dans le kit de compte de Facebook, que Facebook a récemment corrigée.

Les applications Web et mobiles de Tinder permettent aux utilisateurs d'utiliser leurs numéros de téléphone portable pour se connecter au service. Et ce service de connexion est fourni par Account Kit (Facebook).

L'utilisateur clique sur Connexion avec numéro de téléphone sur tinder.com, puis il est redirigé vers Accountkit.com pour se connecter. Si l'authentification réussit, Account Kit transmet le jeton d'accès à Tinder pour la connexion.

Fait intéressant, l'API Tinder ne vérifiait pas l' ID client sur le jeton fourni par Account Kit.

Cela a permis à l'attaquant d'utiliser le jeton d'accès de n'importe quelle autre application fourni par Account Kit pour prendre en charge les vrais comptes Tinder d'autres utilisateurs.

Description de la vulnérabilité

Account Kit est un produit de Facebook qui permet aux utilisateurs de s'inscrire et de se connecter rapidement à certaines applications enregistrées en utilisant uniquement leur numéro de téléphone ou leur adresse e-mail sans avoir besoin d'un mot de passe. Il est fiable, facile à utiliser et donne à l'utilisateur le choix de la manière dont il souhaite s'inscrire aux applications.

Tinder est une application mobile basée sur la localisation pour rechercher et rencontrer de nouvelles personnes. Il permet aux utilisateurs d'aimer ou de ne pas aimer les autres utilisateurs, puis de procéder à une discussion si les deux parties ont glissé vers la droite.

Il y avait une vulnérabilité dans Account Kit par laquelle un attaquant aurait pu accéder au compte Account Kit de n'importe quel utilisateur simplement en utilisant son numéro de téléphone. Une fois entré, l'attaquant pourrait avoir mis la main sur le jeton d'accès au kit de compte de l'utilisateur présent dans ses cookies (aks).

Après cela, l'attaquant pourrait utiliser le jeton d'accès (aks) pour se connecter au compte Tinder de l'utilisateur à l'aide d'une API vulnérable.

Comment mon exploit a fonctionné étape par étape

Étape 1

Tout d'abord, l'attaquant se connectait au compte Account Kit de la victime en saisissant le numéro de téléphone de la victime dans « new_phone_number » dans la requête API ci-dessous.

Veuillez noter que Account Kit ne vérifiait pas le mappage des numéros de téléphone avec leur mot de passe à usage unique. L'attaquant pouvait entrer le numéro de téléphone de n'importe qui, puis se connecter simplement au compte Account Kit de la victime.

Ensuite, l'attaquant pourrait copier le jeton d'accès «aks» de l'application Account Kit à partir des cookies.

L'API du kit de compte vulnérable:

POST / update / async / phone / confirm /? Dpr = 2 HTTP / 1.1 Hôte: www.accountkit.com new_phone_number = [numéro de téléphone de vctim] & update_request_code = c1fb2e919bb33a076a7c6fe4a9fbfa97 [code de demande de l'attaquant] & confirmation_code = 258822 [code de requête de l'attaquant] & confirmation_code = 258822 a ___ code de l'attaquant = 258822 1 & __ dyn = & __ req = 6 & __ be = -1 & __ pc = PHASED% 3ADEFAULT & __ rev = 3496767 & fb_dtsg = & jazoest =

Étape 2

Désormais, l'attaquant rejoue simplement la requête suivante en utilisant le jeton d'accès copié «aks» de la victime dans l'API Tinder ci-dessous.

Ils seront connectés au compte Tinder de la victime. L'attaquant aurait alors un contrôle total sur le compte de la victime. Ils pouvaient lire des discussions privées, des informations personnelles complètes et faire glisser les profils d'autres utilisateurs vers la gauche ou la droite, entre autres.

API Tinder vulnérable:

POST / v2 / auth / login / accountkit? Locale = fr HTTP / 1.1

Hébergeur: api.gotinder.com

Connexion: fermer

Contenu-Longueur: 185

Origine: //tinder.com

version de l'application: 1000000

plateforme: web

Agent utilisateur: Mozilla / 5.0 (Macintosh)

type de contenu: application / json

J'accepte: */*

Référent: //tinder.com/

Accept-Encoding: gzip, dégonfler

Accept-Language: en-US, en; q = 0.9

{"Token": "xxx", "id": ""}

Preuve de concept vidéo

Chronologie

Les deux vulnérabilités ont été corrigées rapidement par Tinder et Facebook. Facebook m'a récompensé avec 5 000 $ US et Tinder m'a récompensé avec 1 250 $.

Je suis le fondateur d'AppSecure, une entreprise spécialisée en cybersécurité avec des années de compétences acquises et une expertise méticuleuse. Nous sommes là pour protéger votre entreprise et vos données critiques contre les menaces ou vulnérabilités en ligne et hors ligne.

Vous pouvez nous contacter à [email protected] ou [email protected]