Per pigrizia gli utenti di Tinder hanno corso un gran rischio, quello cioè di veder hackerato il proprio account. Colpa di un bug di Account Kit, il servizio di Facebook che consente di accedere velocemente a una app usando come credenziali il numero di telefono, senza necessità quindi di memorizzare le password. Una leggerezza che poteva costar cara: la più riservata delle app, quella che racchiude i “mi interessi, ci sentiamo in chat?” degli utenti, non era protetta, e chiunque avrebbe potuto entrare nel profilo altrui soltanto conoscendone il numero di telefono. Questione di cookies.
La debolezza, scoperta da Anand Prakash di Appsecure e denunciata con un post su Medium, è stata comunque già risolta da Facebook e Tinder, anche se non è chiaro se la falla sia stata sfruttata da qualche hacker non altrettanto etico. Ma dove stava il problema del sistema? Prakash lo spiega con questo video.
L’errore individuato dall’hacker indiano sta nel fatto che l’API di Tinder, cioè le funzioni di programmazione dell’app, non verificava il client ID, cioè l’identificativo univoco dell’utente, nella stringa di testo prodotta da Accountkit. Funziona così. L’utente dell’app prova a fare login con il numero di telefono, venendo così reindirizzato su Accountkit.com, dove l’autenticazione avviene tramite la verifica di un codice inviato per messaggio sul numero indicato. Semplicemente utilizzando un software di penetration test delle applicazioni web, il malintenzionato sarebbe stato in grado di vedere e copiare la chiave di accesso all’account dai cookies memorizzati. Due passaggi e il gioco è fatto. Il profilo Tinder di chiunque, in questo modo, sarebbe stato violabile.
Tinder e Facebook sono corse subito ai ripari. Prakash ha scritto su Medium che i bug sono stati risolti: e per ringraziarlo, Zuckerberg gli ha staccato un assegno da cinquemila dollari, e altri 1.250 gli sono arrivati dall’app di chat. Non è la prima volta che l’hacker etico, che ha solo 24 anni, scopre le falle dei big dell’informatica e li informa: negli scorsi mesi aveva già salvato Twitter e Uber.