Sistem keamanan pada layanan kencan online Tinder ternyata lebih mudah dibobol dengan cara yang cukup sederana. Ahli keamanan Anand Prakash mengungkap nomor ponsel yang tersimpan pada akun Facebook yang terhubung dengan Tinder menjadi peluang besar bagi peretas.
Serangan tersebut bekerja dengan memanfaatkan dua kerentanan yang terpisah pada Tinder. Yang pertama adalah di Tinder sendiri, kedua pada sistem Account Kit Facebook yang digunakan Tinder untuk mengelola log in.
Account Kit adalah produk Facebook yang memungkinkan orang mendaftar dengan cepat dan masuk ke beberapa aplikasi terdaftar hanya dengan menggunakan nomor telepon atau alamat email mereka tanpa memerlukan kata sandi. Layanan ini kerap diandalkan, selain mudah digunakan sekaligus memberi pengguna pilihan bagaimana mendaftar ke aplikasi.
Sayangnya, kerentanan di Account Kit justru bisa menunjukkan token akses pengguna. Hal ini membuatnya dapat diakses melalui permintaan API sederhana dengan nomor telepon terkait.
Log in melalui nomor telepon saja seharusnya tidak cukup untuk membajak akun, namun Tinder seakan menciptakan kerentanannya sendiri. Sistem log in Tinder tidak memverifikasi token akses terhadap akun terkait pengguna. Dengan kata lain siapa pun yang memiliki token akses yang berlaku dapat mengambil alih keseluruhan akun.
Appsecure melaporkan bahwa dua celah ini membuat peretas benar-benar mengambil alih akun Tinder dengan akses penuh ke profil pengguna dan seluruh obrolan.
“Jika si peretas mengetahui nomor telepon korban yang digunakan untuk mengakses, mereka bisa menggunakan trik ini untuk masuk ke akun Tinder,” ungkap Anand kepada Telegraph, Jumat (23/2).
Ia menambahkan bahwa “sangat mudah” untuk memanfaatkan celah keamanan ini. Sejauh ini ia telah melaporkan hasil temuannya ke Facebook dan Tinder.
“Kami dengan cepat membahas masalah ini dan kami berterima kasih kepada peneliti yang menyampaikannya kepada kami,” demikian tanggapan perwakilan Facebook.
“Keamanan merupakan prioritas utama di Tinder. Namun, kami tidak membahas langkah-langkah keamanan atau strategi khusus, agar tidak memberi tip kepada peretas jahat,” Tinder menanggapi kerentanan tersebut.
Prakash diganjar hadiah sebesar US$ 5.000 dari Facebook dan US$ 1.250 dari Tinder berkat penemuannya tersebut.