Tinder : une faille permettait d’accéder à votre profil

En utilisant l’identification par numéro de téléphone, une personne malintentionnée pouvait accéder au compte Tinder d’un utilisateur. La faille a depuis été corrigée.

L’authentification Facebook mise en cause

Dans un article publié par Appsecure, on apprend que Tinder n’avait pas bien sécurisé son processus de connexion. Lorsqu’un client ouvre l’application, il a la possibilité de se connecter en utilisant son compte Facebook, ou son numéro de téléphone. C’est cette dernière option qui posait problème. Une fois le numéro renseigné, Tinder utilise le service d’identification Account Kit de Facebook pour faire le lien avec le réseau social.

L’utilisateur est alors redirigé vers Accountkit.com, qui vérifie l’identité de l’individu en demandant un token d’identification. Problème : Tinder ne cherchait pas à connaître l’origine de cette clé, et acceptait n’importe quel token valide sans vérifier si l’identifiant correspondait bien à la demande de Tinder. En conséquence, un token fourni par une autre application -comme un jeu mobile- permettait de se connecter à Tinder, sans que l’application ne se rende compte de rien. Les chercheurs précisent qu’en utilisant des cookies, un hacker aurait très bien pu capter un token correspondant à sa victime, et se connecter à son compte Tinder à distance, pour ensuite le faire chanter.

https://youtu.be/tIAxmZt1joY

Faille comblée

Informés par les chercheurs, Tinder et Facebook ont rapidement collaboré pour renforcer leur système et mettre fin à sa vulnérabilité. Le réseau social a récompensé l’équipe de 5000 dollars alors que l’appli de rencontre leur a fait un chèque de 1250 dollars.