Falha de login do Tinder permite invasão de contas por hackers
As vulnerabilidades foram consertadas pelo Tinder e Facebook antes da divulgação do problema
Uma falha de login do Tinder permite que hackers tenham acesso a qualquer conta da rede social. O erro foi detectado nesta terça-feira pelo programador indiano Anand Prakash, fundador da startup AppSecure, que investiga vulnerabilidades de segurança.
O problema está no recurso “entrar com número de telefone”. Ao tentar fazer login, o usuário é redirecionado para o servidor Account Kit, pertencente ao Facebook, que faz a autentificação do número de celular e manda um token para o Tinder, autorizando o acesso.
Entretanto, Prakash descobriu que a plataforma do Tinder não estava checando a identidade do cliente no token provido pelo Account Kit. O erro habilita que hackers usem qualquer token para invadir contas do Tinder.
“Basicamente, o hacker passa a ter controle total sobre a conta da vítima. Ele pode ler bate-papos privados, informações pessoais completas e deslizar outros perfis de usuários para a esquerda ou para a direita”, explicou Prakash.
No Tinder, aplicativo de relacionamento, o ato de deslizar perfis para os lados é uma maneira de demonstrar ou não interesse em outros usuários.
As vulnerabilidades foram consertadas pelo Tinder e pelo Facebook antes da divulgação do erro. O programador recebeu uma recompensa de 5.000 dólares (16.309 reais) do Facebook e de 1.250 dólares (4.077 reais) do Tinder.
Recentemente, Prakash também identificou vulnerabilidades que permitiriam a hackers invadir qualquer conta do Facebook ou conseguir corridas gratuitas pelo aplicativo da Uber.
Procurado por VEJA, o Tinder afirmou que segurança é uma prioridade. “Como parte do nosso esforço contínuo nessa área, nós utilizamos um Bug Bounty Program e trabalhamos com qualificados pesquisadores de segurança pelo mundo para identificar potenciais problemas de forma responsável e resolvê-los rapidamente. No entanto, nós não discutimos nenhuma medida ou estratégia de segurança específica, de forma a não dar dicas para hackers maliciosos”.
O Facebook informou que rapidamente resolveu a questão. “Agradecemos ao pesquisador por ter nos informado sobre ela”.
ACESSO LIVRE COM VIVO FIBRA
