I ricercatori di sicurezza di Appsecure hanno svelato un modo semplice per accedere a qualsiasi account di servizio di appuntamenti online. Per quello, bastava conoscere il numero di telefono della vittima.

Il difetto ha sfruttato il modulo di login di Tinder e l’API di Facebook su cui si basa. Infatti, per recuperare le tue informazioni (età, sesso, foto del profilo, interesse, ecc.), Tinder ha bisogno di Facebook. Alla creazione del suo account, l’utente può collegarsi direttamente al social network, o creare un account utilizzando un numero di telefono, che verrà poi verificato nel database di Facebook.

Ciò che il team Appsecure ha scoperto è che questa verifica del numero di telefono potrebbe essere stata fuorviante. L’accesso “token” non ha richiesto alcuna convalida da parte di Tinder. In altre parole, inserendo il numero di telefono di una persona, Facebook ha confermato la sua identità, ha inviato i dati a Tinder, che non ha verificato di essere la stessa persona.

L’hacker ha quindi avuto pieno accesso all’account, con tutte le conversazioni condotte sull’applicazione, il tutto con l’aiuto di un semplice numero di telefono. Fortunatamente, Appsecure ha contattato entrambe le società per comunicare loro la loro scoperta ed è stata premiata con $ 5.000 da Facebook e $ 1.250 da Tinder. Da allora, il guasto è stato riparato, senza ulteriori spiegazioni. Sul lato di Tinder, si dice ” non volendo discutere specifiche misure di sicurezza o strategie, non per facilitare il compito degli hacker “.

Lascia una recensione

Please Login to comment
avatar
  Subscribe  
Notificami