O sistema de login do Tinder esteve (demasiado) vulnerável

Um ataque recentemente publicado deu conta de uma falha de segurança no sistema de login do Tinder que permitia utilizar uma conta a partir apenas do seu número de telemóvel. O Tinder poucas horas depois da publicação da vulnerabilidade corrigiu a falha através de um patch.

O ataque funcionava através de duas vulnerabilidades diferentes. Uma no Tinder e outra no Account Kit system do Facebook, que o Tinder utiliza no sistema de login. A vulnerabilidade da parte do Account Kit expunha os tokens (aks) tornando-os acessíveis através de um simples API request do número de telemóvel associado. Isso, por si só, não era suficiente para aceder à conta. Porém o sistema do Tinder não verificava os tokens em relação ao ID de cliente associado, o que resultava numa situação em que qualquer utilizador com um access token válido poderia tomar uma conta.

O Tinder entretanto já resolveu o problema sem adiantar muitos pormenores sobre quanto tempo o sistema esteve vulnerável. “A segurança é uma prioridade para o Tinder”, referiu um representante da empresa citado pelo The Verge. “Ainda assim, nós não temos o hábito de discutir medidas de segurança específicas ou estratégias, para não dar qualquer dica a hackers com intenções maliciosas.”

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui