Все дело в XSS-проблеме
Tinder под угрозой?
Началось все с того, что специалисты компании VPNMentor изучали безопасность сервисов для знакомств, в числе которых был и Tinder. В ходе этой деятельности было обнаружено, что поддомен go.tinder.com уязвим перед XSS-атаками. Данная брешь навела исследователей на более крупную проблему, которая затрагивает такие сервисы и компании как:
- Western Union,
- Yelp,
- RobinHood,
- Shopify,
- Letgo,
- Cuvva,
- Lookout,
- и другие.
После общения с разработчиками Tinder оказалось, что проблема кроется не в самом сервисе, а в наборе инструментов branch.io. Данный набор используется множеством компаний во всем мире для наблюдения за поведением пользователей.
Исследователи VPNMentor сообщают, что потенциально под угрозой оказались около 685 млн пользователей. Чтобы эксплуатировать баг необходимо заманить жертву на вредоносный сайт, причем человек должен был уже залогинен в уязвимом сервисе, который использует branch.io.
Попыток эксплуатации этой проблемы обнаружено не было. Однако переживать уже не стоит, так как баг уже был устранен. Для тех, кто интересуется специалисты VPNMentor выложили технические детали уязвимости, которая представляла собой сбой DOM Based XSS.
