由於Tinder，Shopify，Yelp和許多其他人使用的服務Branch.io中存在漏洞，數以億計的使用者可能已經接觸到跨站點指令碼（XSS）攻擊。

vpnMentor的研究人員在分析Tinder和其他應用程式時，發現了一個Tinder域go.tinder.com，它有多個XSS漏洞。vpnMentor表示，這些漏洞可能會被用來訪問Tinder使用者的個人資料。不過在大多數情況下，利用XSS缺陷需要目標點選一個特別製作的連結。

在收到漏洞通知後，Tinder的安全團隊即啟動調查，並確定了go.tinder.com域實際上是Branch.io資源custom.bnc.lt 的別名。

Branch.io是一家位於加利福尼亞州的公司，其解決方案為企業等各類組織提供分析幫助，為其推薦系統，建立深層連結等。另外，還有幾家大公司由於使用Branch.io資源有相同的攻擊端點，比如Yelp，Western Union，Shopify，RobinHood，Letgo，imgur，Lookout，fair.com和Cuvva。

這家VPN公司的研究人員估計，這些漏洞可能已經影響了使用相關服務的6.85億人。雖然安全漏洞已被修補，也沒有出現使用者資料被惡意利用的證據，但vpnMentor仍然認為使用者應該更改其密碼作為預防措施。專家表示，由於Branch.io未能使用內容安全策略（CSP），因此很容易在許多Web瀏覽器中利用基於DOM的XSS漏洞。

“[基於DOM的XSS]是一種攻擊，其中攻擊有效負載是在受害者瀏覽器中修改DOM環境的結果，在動態環境中更是如此，”vpnMentor在部落格文章中說。“在基於DOM的XSS中，HTML原始碼和攻擊響應將完全相同。這意味著無法在響應中找到惡意負載，這使得瀏覽器內建的XSS緩解功能（如Chrome的XSS Auditor）難以執行。”

儘管漏洞已經修復，研究人員仍然建議近期使用過Tinder或任何其他受影響的網站的使用者及時更改密碼提升安全性。