Descripción
Kaspersky tenía razón al dudar de la seguridad de Tinder. Los investigadores de Appsecure encontraron un fallo en el sistema de inicio de sesión de la aplicación y en la API de Facebook en la que se basa, a través de la cual se podía acceder a la cuenta de cualquier persona simplemente conociendo su número de teléfono. Con lo que la privacidad de todos los usuarios sin duda está en peligro.
El fallo fue resuelto por ambas compañías y Appsecure recibió una recompensa de $5,000 de Tinder y $1250 de Facebook a través de sus programas de aviso de errores. En cualquier caso, este no es el primer problema para Tinder, que ya ha estado en el centro de las vulnerabilidades extravagantes, como la falta de cifrado de las fotos de los usuarios o el hecho de que durante meses mostró la posición precisa de los usuarios, violando su privacidad.
Tinder debe revisar a fondo la seguridad
El exploit utiliza el token de acceso generado por el procedimiento de inicio de sesión a través del número de teléfono. El equipo de investigación descubrió una forma de obtener un token a través de una llamada a la API del kit de cuentas de Facebook utilizando el contacto telefónico de la víctima potencial. Por otra parte, Tinder no llevó a cabo comprobaciones de seguridad del token obtenido para verificar si estaba realmente asociado con el ID del cliente. El siguiente vídeo muestra el procedimiento, que ya no se puede utilizar.
https://www.youtube.com/watch?v=tIAxmZt1joY
Tinder comentó oficialmente sobre la historia, reafirmando su compromiso con la seguridad y su programa de recompensas por reportar errores que le permite colaborar con numerosos expertos en ciberseguridad de todo el mundo.
>>> Si usas Telegram te interesa apuntarte a nuestro Canal de Telegram, con todos los artículos del blog y mucho más.