Seu Tinder podia ser hackeado com apenas um número de celular [atualizado]
O Tinder se pronunciou oficialmente sobre o caso e enviou o comunicado ao TecMundo. Confira abaixo a mensagem na íntegra:
Segurança é uma prioridade no Tinder. Assim como outras grandes empresas de tecnologia, nós usamos uma rede de ferramentas e sistemas para proteger a integridade da nossa plataforma. Como parte do nosso esforço contínuo nessa área, nós utilizamos um Bug Bounty Program e trabalhamos com qualificados pesquisadores de segurança pelo mundo para identificar potenciais problemas de forma responsável e resolvê-los rapidamente. No Tinder, nós estamos constantemente melhorando nossos protocolos, não apenas para alcançar, mas para superar as melhores práticas da indústria. No entanto, nós não discutimos nenhuma medida ou estratégia de segurança específica, de forma a não dar dicas para hackers maliciosos.
O especialista em segurança Anand Prakash descobriu uma vulnerabilidade no Tinder que permitia que as contas das pessoas fossem acessadas por qualquer um usando apenas um número de celular. Esse bug explorava o uso que o app de encontros faz do Account Kit do Facebook, um sistema que serve para facilitar logins usando o número particular do telefone do usuário.
Uma vez que o hacker tivesse conseguido o token de acesso do usuário do Account Kit presente nos cookies
O problema começou porque a API do Tinder não estava checando o Client ID no token fornecido pelo Account Kit durante o processo de login. Era possível, então, usar o token e o número de celular de um usuário para acessar sua conta sem a necessidade da senha para o perfil.
“Uma vez que o hacker tivesse conseguido o token de acesso do usuário do Account Kit presente nos cookies”, Prakash disse. “Feito isso, o invasor pode usar o token de acesso para entrar na conta Tinder do usuário usando a API vulnerável”. Por meio dessa vulnerabilidade, o invasor teria o controle completo do perfil do alvo.
Em parceria, o Tinder e o Facebook já corrigiram o problema e o especialista em segurança que descobriu a vulnerabilidade ainda ganhou uma recompensa de US$ 5 mil, ou R$ 16,3 mil, do Facebook e mais US$ 1.250, ou R$ 4 mil, do Tinder conforme seus programas de “caça ao bug”.