Si eres un usuario de la aplicación de citas Tinder, tu cuenta ha podido ser hackeada por culpa de un fallo de seguridad que, afortunadamente, ya se ha corregido a través de un parche. Con solo tener el número de teléfono de un usuario en Tinder, los ciberdelincuentes podían tener acceso a los contactos de dicho usuario. Un fallo de seguridad encontrado entre la red social de Facebook y la API de Facebook, la cual usa Tinder para que los usuarios puedan entrar en sus cuentas y tener las dos aplicaciones conectadas.
https://www.youtube.com/watch?v=tIAxmZt1joY
El sistema de ingreso en la aplicación de Tinder no estaba verificando correctamente si los permisos otorgados por Facebook coincidían correctamente con los datos del usuario al que pertenecían, por lo que con cualquier ‘token’ o ‘permiso’ recibido que fuese válido podía hacerse con cualquier cuenta de Tinder. Esta grave vulnerabilidad, según informa el sitio de noticias tecnológicas The Verge, ha sido descubierta por Appsecure. Esta compañía dedicada a la seguridad de aplicaciones móviles, gracias al descubrimiento, fue premiada con 5.00 euros por parte de Facebook.
No es la primera vez que Tinder debe hacer frente a problemas de seguridad en su aplicación móvil. A finales del mes pasado informábamos que por culpa de un nuevo agujero de seguridad cualquiera podía tener acceso a tus ‘matches’, o sea, a las personas con las que habías coincidido al mostrar interés amoroso. Cuando un usuario ‘descarta’ a otro, el servidor envía un paquete de datos encriptado de 278 bytes. Sin embargo, al aceptar a un candidato en Tinder, ese paquete tiene entonces un tamaño de 374 bytes. ¿Y qué pasa cuando ambos son coincidentes? Que el tamaño de ese paquete es de 581 bytes. Que la información esté encriptada es lo de menos: con el tamaño del paquete se puede ver si hay coincidencia o no.
Con respecto a la situación del más reciente fallo de seguridad, tanto Tinder como Facebook ya han tomado cartas en el asunto, quedando la situación ya resuelta satisfactoriamente.
