Securite : Comme l’a releve la societe Check Point, l’application de rencontre OkCupid contient une faille de securite mettant en danger les donnees des utilisateurs. Un probleme d’ores et deja resolu, explique la plateforme.
Plusieurs chercheurs de la societe de cybersecurite Check Point viennent de trouver votre moyen Afin de les pirates de piller les donnees sensibles des utilisateurs de la celebre application de rencontre OkCupid. Une reperee importante alors que celle-ci a accueilli plus de 50 millions d’utilisateurs enregistres avec son lancement. Elle s’impose aujourd’hui comme l’une des leaders du secteur des applications de rencontre, a toutes les cotes de concurrents comme Tinder, Match ou Grindr. L’application conduit a l’organisation d’environ 50 000 rencontres par semaine.
Pourtant, alors que nos applications de rencontre connaissent une forte augmentation de leur nombre d’utilisateurs, celles-ci ont commence a revoir le fonctionnement de leurs plateformes. Et OkCupid n’a gui?re fera exception a votre regle. J’ai plateforme de rencontre a Dans les faits enregistre une augmentation de 20 % des conversations partout dans le monde et une augmentation de 10 % des rencontres depuis le debut des mesures de confinement imposees par la crise sanitaire actuelle.
Reste qu’avec l’elargissement une base d’utilisateurs, nos precisions personnelles paraissent exposees a un risque supplementaire si votre marketing n’est gui?re a la hauteur. Ce qui pourrait etre la situation avec OkCupid, comme l’a releve ce mercredi la societe de cybersecurite Check Point, qui a revele un ensemble de vulnerabilites pouvant conduire a l’exposition de donnees de profil sensibles sur l’application, au detournement de comptes d’utilisateurs mais aussi au vol de jetons d’authentification, d’identifiants et d’adresses electroniques des utilisateurs.
Les cookies a la rescousse
J’ai version concernee par cette decouverte est la 40.3.1, dans Android 6.0.1. Les chercheurs en cybersecurite ont procede a l’ingenierie inverse du logiciel mobile et ont decouvert Notre fonctionnalite de „lien profond“, qui permet a toutes les attaquants d’envoyer des liens personnalises et malveillants pour ouvrir l’application mobile. Resultat des courses : votre attaquant pourrait envoyer une requete HTTP GET et une charge utile XSS a partir de son propre serveur, dont le JavaScript pourrait ensuite etre execute via WebView.
Si une victime clique concernant un lien elabore – potentiellement envoye personnellement avec l’application ou poste dans un forum public – les IIP, les informations de profil, les caracteristiques de l’utilisateur – comme celles soumises au cours en creation des profils – des preferences, des adresses electroniques, les ID et les jetons d’authentification pourraient tous etre compromis et exfiltres aupres du serveur de commande ainsi que controle de l’attaquant (C2).
Comme les vulnerabilites pourraient etre utilisees pour voler des identifiants et des jetons, ce qui pourrait egalement conduire nos attaquants a executer des actions en un nom, comme l’envoi de messages. Cependant, une prise de controle complete 
du compte n’est gui?re possible, en raison des protections existantes contre les cookies.
Probleme resolu d’apri?s OkCupid
Check Point a egalement decouvert une politique de partage de ressources entre origines (CORS) mal configuree dans le serveur API de api.OkCupid.com, permettant a toute origine d’envoyer des requetes au serveur ainsi que lire les reponses.
D’autres attaques pourraient conduire au filtrage des informations des utilisateurs a partir du point final de l’API de profil. Si le vol d’informations soumises a une application de rencontre est en mesure de ne pas sembler si important, la richesse des donnees personnelles eventuellement recoltees par les agresseurs pourrait etre utilisee dans des tentatives d’ingenierie sociale, entrainant des consequences bien plus nefastes.
« L’application et J’ai plateforme ont ete creees pour rapprocher les individus, mais naturellement, la ou les gens vont, nos criminels les suivront, a J’ai recherche de proies faciles », ont De quelle fai§one les chercheurs. Check Point Research a informe OkCupid des conclusions et les problemes de securite sont maintenant resolus.
« Manque un seul utilisateur n’a ete touche par la vulnerabilite potentielle d’OkCupid, et nous avons pu la corriger dans les 48 heures », rassure la agence editrice d’une plateforme. « Nous sommes reconnaissants a des partenaires comme Checkpoint qui, avec OkCupid, ont fait passer la securite et la vie privee de nos utilisateurs en premier », a egalement tenu a indiquer la direction d’une plateforme.