Um hacker poderia ganhar acesso a uma conta no Tinder e ler mensagens privadas de usuários usando apenas o número de telefone da vítima. Para isso, ele precisava explorar uma falha que atingia tanto o Tinder quanto uma API do Facebook.
A vulnerabilidade foi descoberta por pesquisadores do AppSecure. Em um post no Medium, eles detalham como ela poderia ser explorada por hackers. Os bugs estavam tanto no processo de login do Tinder quanto na API do Facebook usada pelo app para criar e gerenciar contas.
Em vez de pedir para usuários criarem contas novas, o Tinder usa a API Account Kit do Facebook, que pega informações da conta do Facebook da pessoa para fornecer acesso a serviços pela web.
Para fazer login no Tinder, o usuário tem a opção de usar apenas o número de telefone, que passa pela API do Facebook para confirmar as credenciais. A falha estava nesse processo, já que hackers podiam conseguir um token de acesso válido no Facebook para entrar na conta do Tinder.
Tanto Facebook quanto Tinder já corrigiram as falhas, e as empresas recompensaram os pesquisadores da Appsecure pela descoberta das vulnerabilidades.
Opine
