Tinder: una falla di sicurezza permetteva di hackerare qualsiasi account
Tinder, applicazione di incontri online, è stata vittima di una falla di sicurezza molto pericolosa. Tutti gli account erano a rischio.
Alla base del bug che ha afflitto la piattaforma di incontri online c’è l’integrazione con l’API di Facebook. A scoprirlo è stato un hacker indiano, che si occupa di scovare le falle – nei sistemi di diverse piattaforme – chiedendo una ricompensa per la segnalazione.
In questo caso, la clamorosa falla di sicurezza permetteva a chiunque di appropriarsi dell’account di un altro utente semplicemente sfruttando il suo numero di telefono. Per farlo, bastava scegliere, al momento della registrazione, Facebook come modalità di raccolta dati.
Dopo questo passaggio, era sufficiente inserire il numero di telefono della vittima nel campo proposto. L’API di collegamento ordinava a Facebook di iniziare immediatamente la ricerca e – nel caso di esito positivo – comunicava l’account del social a Tinder senza che ci fosse una controverifica.
Sembra che la pericolosa falla di sicurezza sia ormai risolta: sia Facebook che Tinder hanno ricompensato l’hacker indiano per aver scoperto il bug all’interno dell’API. Un duro colpo per la piattaforma di incontri online, già vittima a gennaio di un’altra falla: infatti bastava una connessione Wi-Fi per scoprire i match degli utenti collegati.
Alla base del bug che ha afflitto la piattaforma di incontri online c’è l’integrazione con l’API di Facebook. A scoprirlo è stato un hacker indiano, che si occupa di scovare le falle – nei sistemi di diverse piattaforme – chiedendo una ricompensa per la segnalazione.
In questo caso, la clamorosa falla di sicurezza permetteva a chiunque di appropriarsi dell’account di un altro utente semplicemente sfruttando il suo numero di telefono. Per farlo, bastava scegliere, al momento della registrazione, Facebook come modalità di raccolta dati.
Dopo questo passaggio, era sufficiente inserire il numero di telefono della vittima nel campo proposto. L’API di collegamento ordinava a Facebook di iniziare immediatamente la ricerca e – nel caso di esito positivo – comunicava l’account del social a Tinder senza che ci fosse una controverifica.
Sembra che la pericolosa falla di sicurezza sia ormai risolta: sia Facebook che Tinder hanno ricompensato l’hacker indiano per aver scoperto il bug all’interno dell’API. Un duro colpo per la piattaforma di incontri online, già vittima a gennaio di un’altra falla: infatti bastava una connessione Wi-Fi per scoprire i match degli utenti collegati.
