As contas do Tinder quase caíram nas mãos de hackers depois que os pesquisadores descobriram que podiam fazer login nas contas de usuário usando apenas um número de telefone.
Embora a vulnerabilidade tenha sido corrigida, obviamente é preocupante que o histórico de bate-papo e as fotos possam ter sido expostos.
A vulnerabilidade, que se resumia a uma mistura de duas coisas: o Tinder e o uso do Tinder do Kit de contas do Facebook, poderia ter dado a hackers mal-intencionados ou ex-namorados acesso às contas. Como deve funcionar é bem simples: quando um usuário opta por fazer login no aplicativo usando seu número de telefone, ele é redirecionado para o Account Kit do Facebook. Ao enviar um código de confirmação para o usuário, que o digita no site do Account Kit, o Account Kit é capaz de autenticar e passar o token de acesso ao Tinder. Isso, no entanto, é onde a vulnerabilidade ocorre.
LEIA A SEGUIR: Tinder Plus versus Tinder Gold
Ver relacionados
Embora a API do Tinder devesse verificar o ID do cliente no token do kit de contas do Facebook, não estava. Isso significava que os invasores poderiam usar um token de um dos vários outros aplicativos que usam o Account Kit para obter acesso à conta.
A vulnerabilidade foi descoberta pelo fundador da AppSecure, Anand Prakash, que publicou um postagem no blog detalhando suas descobertas. Ele sacou US$ 5.000 do programa Bug Bounty do Facebook e US$ 1.250 do Tinder como recompensa.
“O invasor basicamente tem controle total sobre a conta da vítima agora – ele pode ler bate-papos privados, informações pessoais completas, deslizar outros perfis de usuário para a esquerda ou para a direita, etc.” Prakash escreveu.
Felizmente, nenhuma conta parece ter sido invadida antes da correção da vulnerabilidade.
Não foi um bom mês para o Facebook. já está tendo problemas de autenticação de telefone e no início desta semana, a empresa admitiu que as notificações de spam por SMS enviadas aos usuários eram, na verdade, um bug.
