O sistema de login do Tinder esteve (demasiado) vulnerável

Um ataque recentemente publicado deu conta de uma falha de segurança no sistema de login do Tinder que permitia utilizar uma conta a partir apenas do seu número de telemóvel. O Tinder poucas horas depois da publicação da vulnerabilidade corrigiu a falha através de um patch.

O ataque funcionava através de duas vulnerabilidades diferentes. Uma no Tinder e outra no Account Kit system do Facebook, que o Tinder utiliza no sistema de login. A vulnerabilidade da parte do Account Kit expunha os tokens (aks) tornando-os acessíveis através de um simples API request do número de telemóvel associado. Isso, por si só, não era suficiente para aceder à conta. Porém o sistema do Tinder não verificava os tokens em relação ao ID de cliente associado, o que resultava numa situação em que qualquer utilizador com um access token válido poderia tomar uma conta.

O Tinder entretanto já resolveu o problema sem adiantar muitos pormenores sobre quanto tempo o sistema esteve vulnerável. “A segurança é uma prioridade para o Tinder”, referiu um representante da empresa citado pelo The Verge. “Ainda assim, nós não temos o hábito de discutir medidas de segurança específicas ou estratégias, para não dar qualquer dica a hackers com intenções maliciosas.”

Quer saber outras novidades? Veja em baixo as nossas Sugestões

Quer saber outras novidades? Veja em baixo as nossas Sugestões

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here