Expertos en seguridad de Appsecure descubrieron que un delincuente podía hacerse con el control de las cuentas de la aplicación de citas Tinder con tan solo obtener el número de teléfono del usuario. La empresa tras las aplicación ya ha modificado su sistema de acceso para protegerse de este ataque, del que no se tiene constancia que haya sido explotado activamente.
El ataque que permitía hacerse con una cuenta de Tinder se apoyaba en dos vulnerabilidades diferentes. Una de ellas afectaba al sistema Account Kit de Facebook, que es utilizado por Tinder para gestionar los accesos a su servicio mediante la aplicación. Desgraciadamente, el token generado con Account Kit quedaba expuesto y por lo tanto accesible a cualquiera que hiciera una simple solicitud de API con el número de teléfono asociado.
Nota: Account Kit te ayuda a registrarte rápidamente en las aplicaciones usando solo un número de teléfono o una dirección de correo electrónico (no es necesario ingresar la contraseña).
Sin embargo, lo descrito hasta aquí no es suficiente para hacerse con el control de una cuenta de Tinder. La segunda vulnerabilidad derivaba en cómo implementaba Tinder dicha tecnología, ya que el sistema de acceso de la aplicación no estaba verificando los tokens comparándolos con el ID de cliente asociado, abriendo así la puerta a tomar el control de la cuenta si se encadenaba con el fallo de seguridad anterior. Tras realizar los dos pasos con éxito, un atacante podía acceder al perfil del usuario y las conversaciones.
Appsecure reportó la vulnerabilidad a Facebook y Tinder a principios de año, habiendo recibido como recompensa 5.000 y 1.250 dólares respectivamente por parte de cada una y según lo especificado en sus programas de recompensas. La primera compañía ha comentado que corrigió la vulnerabilidad nada más ser reportada, mientras que la segunda ha hecho valer lo importante que es para ella la seguridad. Con solo tener la aplicación actualizada los usuarios ya no tendrían de qué preocuparse.