Technologia 30.07.2020

Aplikacja randkowa OKCupid mogła paść ofiarą hakerów

Jedna z najpopularniejszych platform randkowych – OKCupid, posiadała liczne luki pozwalające na dostęp do danych wrażliwych użytkowników, w tym profili, wiadomości i list kontaktów – informują eksperci Check Point. Choć zostały szybko usunięte, pada pytanie o bezpieczeństwo innych tego typu usług.   Uruchomiony w 2004 roku serwis OkCupid jest obecnie, obok Badoo i Tindera, jednym z wiodących bezpłatnych portali randkowych na świecie, z ponad 50 milionami zarejestrowanych użytkowników w 110 krajach. Podczas pandemii Covid-19 OkCupid odnotował około 20% wzrost liczby rozmów, sprawiając, że -podobnie jak inne media społecznościowe - stał się obiektem zainteresowania cyberprzestępców.    W związku z jej rosnącą popularnością serwisu, analitycy firmy Check Point postanowili zbadać bezpieczeństwo tej usługi. Wnioski okazały się zatrważające – luki w witrynie internetowej oraz aplikacji pozwalały potencjalnym hakerom na dostęp do pełnych danych profilowych użytkownika, prywatnych wiadomości, adresów czy ankiet profilujących. Odkryte podatności pozwalały również na manipulowanie danymi profilu docelowego i wysyłanie wiadomości do innych użytkowników, umożliwiając podszywanie się w celach dalszych złośliwych działań.   Badacze szczegółowo opisali trzystopniową metodę ataku, która umożliwiłaby hakerowi atakowanie użytkowników:
  1. Haker generuje złośliwy link zawierający „ładunek” inicjujący atak
  2. Haker wysyła link do bezpośrednio do użytkownika lub publikuje go na forum publicznym
  3. Gdy ofiara otworzy link, wykonywany jest złośliwy kod, umożliwiając hakerowi dostęp do konta ofiary.
  - Nasze badanie nad OKCupid, jednej z najpopularniejszych platform randkowych, skłania nas do postawienia poważnego pytania dotyczącego bezpieczeństwa wszystkich aplikacji i witryn randkowych. Udowodniliśmy, że haker może uzyskać dostęp do prywatnych danych, wiadomości i zdjęć użytkowników. Zapewniam jednak, że OKCupid natychmiastowo zareagował na nasze ustalenia, łatając wskazane luki w swojej aplikacji mobilnej i witrynie – mówi Oded Vananu, szef dział badania podatności produktów w Check Point.   OkCupid potwierdził i naprawił luki bezpieczeństwa na swoich serwerach, więc użytkownicy nie muszą podejmować żadnych dodatkowych działań. Po ujawnieniu i naprawieniu luk OkCupid wydał następujące oświadczenie:    Firma Check Point Research poinformowała programistów OkCupid o lukach w zabezpieczeniach ujawnionych w tym badaniu, a rozwiązanie zostało wdrożone w sposób odpowiedzialny, aby zapewnić użytkownikom bezpieczne korzystanie z aplikacji OkCupid. Potencjalna luka w OkCupid nie dotknęła ani jednego użytkownika i byliśmy w stanie ją naprawić w ciągu 48 godzin. Jesteśmy wdzięczni partnerom takim jak Check Point, którzy dzięki OkCupid stawiają bezpieczeństwo i prywatność naszych użytkowników na pierwszym miejscu.   Szczegóły badania wraz z symulacją ataku dostępne są pod linkiem  
Podziel się

Zobacz również

Oto najważniejsze zagrożenia generatywnej sztucznej inteligencji. Zero Trust AI przyszłością.
Technologia
Oto najważniejsze zagrożenia generatywnej sztucznej inteligencji. Zero Trust AI przyszłością.
8 kwietnia 2024
Sztuczna inteligencja, prawdziwe ryzyko. Jak cyberprzestępcy mogą oszukać AI?
Technologia
Sztuczna inteligencja, prawdziwe ryzyko. Jak cyberprzestępcy mogą oszukać AI?
27 marca 2024
Instytucje państwowe celem ataków DDoS
Technologia
Instytucje państwowe celem ataków DDoS
26 marca 2024