Für einen längeren Zeitraum war es möglich, ein Tinder-Konto nur mit einer Telefonnummer zu übernehmen. Dank einem Sicherheits-Experten ist das Problem gelöst. Trotzdem können wir aus Zwischenfällen wie diesen einiges lernen.
Soziale Netzwerke wie Facebook und Online-Plattformen wie Amazon wollen es ihren Nutzern so einfach wie möglich machen. Deshalb gibt es neben der Anmeldung via E-Mail und dem Social-Login häufig auch die Option, sich mit seiner Handynummer anzumelden.
Den Tinder-Nutzern, die auf letztere Variante setzen, hätten so mit etwas Pech den Zugriff auf ihren Account verlieren könnten.
Sicherheits-Experte entdeckt Schwachstelle bei Tinder und Facebook
Dass dies nun nicht mehr möglich ist, ist der Arbeit von Anand Prakash geschuldet. Der Gründer des indischen Cyber-Security-Unternehmens App Secure hatte eine Schwachstelle im Anmeldeprozess von Tinder entdeckt.
Durch einen Fehler hatte die Online-Dating-Plattform die eingegebenen Telefonnummern nicht mit Account-IDs abgeglichen. Durch eine weitere Schwachstelle im von Tinder genutzten Facebook Account Kit war es möglich, einen Tinder-Account nur mit der Hilfe einer Handynummer zu übernehmen.
In einem Post bei Medium hat Prakash die Vorgehensweise ausführlich erklärt. Inzwischen sind die Sicherheitslücken geschlossen. Facebook zahlte 5.000 US-Dollar Belohnung, die Online-Dating-Plattform 1.250 US-Dollar.
Was bedeutet das für mich?
Dank einem aufmerksamen Sicherheits-Experten wurden durch die beiden Schwachstellen keine Konten übernommen. Zumindest behaupten das Facebook und Tinder in Stellungnahmen gegenüber dem US-amerikanischen Tech-Portal The Verge.
In jedem Fall wurde die Schwachstelle eliminiert. Für uns Nutzer bedeutet das vorerst: mehr Sicherheit. Trotzdem müssen auch wir uns immer wieder ins Gedächtnis rufen, wie anfällig Login-Systeme sind.
Selbst kleine Schwachstellen oder Unachtsamkeiten genügen, um großen Schaden bei einzelnen Nutzern anzurichten.
Deshalb ist es wichtig, bei Logins und Passwörtern nicht auf Bequemlichkeit zu setzen. Der Schlüssel zum Erfolg sind dabei sichere Passwörter und Passwort-Safes.
Da jedoch in diesem Fall nicht einmal das genügt hätte, sollte, wenn immer möglich, auch noch auf die Zwei-Faktor-Authentifizierung genutzt werden. Dann genügt eben nicht mehr nur ein Passwort oder eine Handynummer. Ohne den zweiten Faktor (zum Beispiel ein Bild auf deinem USB-Stick) geht sonst gar nichts mehr.
