Kwetsbaarheid Tinder gaf toegang tot accounts via telefoonnummer

Een fout in het inlogsysteem van Tinder zorgde ervoor dat kwaadwillenden mogelijk toegang tot accounts konden krijgen. Daarvoor was slechts een telefoonnummer van gebruikers nodig.

Dat schrijft beveilingsonderzoeker Anand Prakash van het bedrijf Appsecure in een blogpost op Medium.

Door een kwetsbaarheid bij Tinder was het voor kwaadwillenden mogelijk om in te loggen bij accounts van anderen. Ze hadden daarvoor het telefoonnummer nodig dat slachtoffers gebruiken. De inlogdienst werkt via Facebook's Account Kit.

Prakash zegt dat toegang vervolgens binnen enkele seconden mogelijk was. Kwaadwillenden konden op deze manier "volledige controle over accounts" krijgen. Prakash zegt dat de inbraak "vrij gemakkelijk" was om uit te voeren.

Opgelost

De onderzoeker maakte melding van het lek. Inmiddels is het gat gedicht. Prakash kreeg een beloning van 5.000 dollar voor zijn vondst en nog eens 1.250 dollar van Tinder. Techbedrijven loven vaker beloningen uit aan mensen die bugs en lekken vinden in systemen.

Lees meer over:
Tip de redactie