Tinder-konti blev næsten trukket direkte ind i hænderne på hackere, efter at forskere fandt ud af, at de var i stand til at logge ind på brugerkonti ved hjælp af blot et telefonnummer.
Selvom sårbarheden nu er rettet, er det naturligvis bekymrende, at chathistorik og billeder kunne være blevet afsløret.
Sårbarheden, som skyldtes en blanding af to ting: Tinder og Tinders brug af Facebooks Account Kit, kunne have givet ondsindede hackere eller sure ekser adgang til konti. Hvordan det skal fungere er ret simpelt: Når en bruger vælger at logge ind på appen ved hjælp af sit telefonnummer, bliver de omdirigeret til Facebooks kontosæt. Ved at sende en bekræftelseskode til brugeren, som derefter indtaster den på Account Kit-webstedet, er Account Kit i stand til at autentificere og videregive adgangstokenet til Tinder. Det er dog der, sårbarheden opstår.
LÆS NÆSTE: Tinder Plus versus Tinder Gold
Se relateret
Mens Tinder API burde have tjekket klient-id'et på Facebooks Account Kit-token, var det ikke. Dette betød, at angribere kunne bruge et token fra en af de mange andre apps, der bruger Account Kit, for at få adgang til deres konto.
Sårbarheden blev opdaget af AppSecures grundlægger, Anand Prakash, som udgav en blogindlæg detaljer om sine resultater. Han udbetalte med $5.000 fra Facebooks Bug Bounty-program og $1.250 fra Tinder som belønning.
"Angriberen har dybest set fuld kontrol over offerets konto nu - han kan læse private chats, alle personlige oplysninger, swipe andre brugerprofiler til venstre eller højre osv." Prakash skrev.
Heldigvis ser ingen konti ud til at være blevet brudt ind, før sårbarheden blev rettet.
Det har ikke været en god måned for Facebook. Det har allerede haft problemer med telefongodkendelse og tidligere på ugen indrømmede virksomheden, at de spam-sms-beskeder, det sendte til brugerne, faktisk var en fejl.
