In dating-app Tinder zat een fout in het inlogsysteem. Daardoor konden kwaadwillenden mogelijk toegang krijgen tot accounts. Het enige wat ze hiervoor nodig hadden, was het telefoonnummer van gebruikers. Dat schrijft Anand Prakash, beveiligingsonderzoeker bij Appsecure, op Medium.
De inlogdienst werkt via Account Kit van Facebook. Volgens Prakash konden de hackers binnen enkele seconden in een account komen, mits ze het telefoonnummer van hun slachtoffer hadden. Op deze manier konden kwaadwillenden “volledige controle over accounts” krijgen. De inbraak was bovendien “vrij gemakkelijk” om uit te voeren.
Het is voor gebruikers van de dating-app mogelijk om in te loggen op accounts met hun telefoonnummer.
Gat gedicht
Prakash heeft het lek gemeld en het gat is inmiddels gedicht. De onderzoeker kreeg 5.000 dollar als beloning voor zijn vondst, en nog eens 1.250 dollar van Tinder. Het is niet ongebruikelijk dat techbedrijven beloningen uitloven aan mensen die fouten en kwetsbaarheden vinden in systemen.