La falla nella sicurezza di Tinder avrebbe potuto consentire agli hacker di accedere agli account utilizzando solo un numero di telefono

Gli account Tinder sono stati quasi trasferiti nelle mani degli hacker dopo che i ricercatori hanno scoperto che erano in grado di accedere agli account utente utilizzando solo un numero di telefono.
Sebbene la vulnerabilità sia stata ora risolta, è ovviamente preoccupante che la cronologia della chat e le foto possano essere state esposte.
La vulnerabilità, dovuta a un mix di due fattori: Tinder e l’uso da parte di Tinder dell’Account Kit di Facebook, avrebbe potuto consentire a hacker malintenzionati o ex amari l’accesso agli account. Il funzionamento è abbastanza semplice: quando un utente sceglie di accedere all’app utilizzando il proprio numero di telefono, verrà reindirizzato all’Account Kit di Facebook. Inviando un messaggio di codice di conferma all’utente, che poi lo digita nel sito web di Account Kit, Account Kit è in grado di autenticarsi e passare il token di accesso a Tinder. Questo, tuttavia, è il punto in cui si verifica la vulnerabilità.
LEGGI SUCCESSIVO: Tinder Plus contro Tinder Gold
Vedi correlati
Facebook ammette che i suoi messaggi di spam ai numeri di telefono dell’autenticazione a due fattori sono stati causati da un bug
Tinder Gold ti consente di pagare per vedere a chi piaci, ecco come si confronta con Tinder Plus nel Regno Unito
Sebbene l’API di Tinder avrebbe dovuto controllare l’ID client sul token dell’Account Kit di Facebook, non lo è stato. Ciò significava che gli aggressori potevano utilizzare un token di una delle numerose altre app che utilizzano Account Kit per ottenere l’accesso al proprio account.
La vulnerabilità è stata scoperta dal fondatore di AppSecure, Anand Prakash, che ha pubblicato un filepost sul blogdettagliatamente le sue scoperte. Ha incassato $ 5.000 dal programma Bug Bounty di Facebook e $ 1.250 da Tinder come ricompensa.
“L’aggressore ha sostanzialmente il pieno controllo sull’account della vittima ora: può leggere chat private, informazioni personali complete, scorrere i profili di altri utenti verso sinistra o verso destra, ecc.” Prakash ha scritto.
Fortunatamente, sembra che nessun account sia stato violato prima che la vulnerabilità fosse risolta.
Non è stato un buon mese per Facebook. Ha già riscontrato problemi di autenticazione telefonica e all’inizio di questa settimana la società ha ammesso che le notifiche SMS di spam che inviava agli utenti erano, in effetti, un bug.