Tinder-konton togs nästan rakt in i händerna på hackare efter att forskare fann att de kunde logga in på användarkonton med bara ett telefonnummer.
Även om sårbarheten nu är åtgärdad, är det uppenbarligen oroande att chatthistorik och foton kan ha avslöjats.
Sårbarheten, som berodde på en blandning av två saker: Tinder och Tinders användning av Facebooks Account Kit, kunde ha gett illvilliga hackare eller sura ex tillgång till konton. Hur det ska fungera är ganska enkelt: när en användare väljer att logga in på appen med sitt telefonnummer, omdirigeras de till Facebooks Account Kit. Genom att sms:a en bekräftelsekod till användaren, som sedan skriver in den på Account Kit-webbplatsen, kan Account Kit autentisera och skicka åtkomsttoken till Tinder. Det är dock där sårbarheten uppstår.
LÄS NÄSTA: Tinder Plus kontra Tinder Gold
Medan Tinder API borde ha kontrollerat klient-ID:t på Facebooks Account Kit-token, var det inte det. Detta innebar att angripare kunde använda en token från en av de många andra apparna som använder Account Kit, för att komma in på deras konto.
Sårbarheten upptäcktes av AppSecures grundare, Anand Prakash, som publicerade en blogginlägg redogöra för sina fynd. Han tog ut 5 000 $ från Facebooks Bug Bounty-program och 1 250 $ från Tinder som belöning.
”Angriparen har i princip full kontroll över offrets konto nu – han kan läsa privata chattar, fullständig personlig information, svepa andra användarprofiler åt vänster eller höger etc.” Prakash skrev.
Lyckligtvis verkar inga konton ha brutits in innan sårbarheten korrigerades.
Det har inte varit en bra månad för Facebook. Det har redan haft problem med telefonautentisering och tidigare denna vecka medgav företaget att de spammiga SMS-meddelanden som det skickade till användarna i själva verket var ett fel.
