Vulnerabilidades no Tinder e na ferramenta Account Kit do Facebook permitiram a um hacker assumir o controle do Tinder de outros usuários – ganhando acesso até mesmo as mensagens privadas – usando apenas o número de telefone da vítima.

O problema foi descoberto por Anand Prakash, um pesquisador de segurança, e já foi corrigido tanto pelo Tinder quanto pelo Facebook.

Em vez de pedir que seus usuários cadastrem um nome e uma senha antes de começar a procurar por pretendentes, o Tinder usa o Account Kit, uma ferramenta para desenvolvedores da plataforma Facebook que, como explica a página oficial, as pessoas a se cadastrarem de forma rápida e fácil em aplicativos de terceiros usando o número de telefone ou endereço de email como credenciais, sem a necessidade de utilizar senhas. Usuários podem simplesmente inserir o número do próprio telefone para receber um código de verificação por SMS e usarem o serviço.

Mas Prakash encontrou vulnerabilidades nessa configuração que permitiram a ele logar na conta do Tinder de alguém – e uma vez logado, ele pode ler as mensagens e escolher novos pretendentes para o usuários invadido.

“Havia uma vulnerabilidade no Account Kit, … que um invasor poderia ter usado para ganhar acesso a conta de qualquer usuário usando apenas o número de telefone dele. Uma vez dentro, o invasor poderia encontrar o token de acesso presente nos cookies do Account Kit de cada usuário”, explicou Prakash em seu blog. Disso, o hacker poderia utilizar o token de acesso para logar na conta do Tinder de alguém.

“A API do Tinder não checava o ID do cliente no token providenciado pelo Account Kit”, explicou o pesquisador. “Isso permitia ao invasor usar o token de acesso de qualquer outro aplicativo que fizesse uso do Account Kit para invadir as contas do Tinder de outros usuários”.

Felizmente, Prakash reportou suas descobertas para os programas de denúncia de bugs de cada companhia, que premiam pesquisadores de segurança com dinheiro em troca de informações sobre as vulnerabilidades que eles descobrem.

“Nós rapidamente corrigimos o erro e somos gratos ao pesquisador que a trouxe para nós”, disse um porta-voz do Facebook ao Gizmodo. Prakash diz que o Facebook o premiou com US$ 5 mil pelo seu programa de bugs. Ele também recebeu US$ 1.250 do Tinder.