Securite : Comme l’a releve la societe Check Point, l’application de rencontre OkCupid contient une faille de securite mettant en danger les donnees de ses utilisateurs. Un probleme d’ores et deja resolu, explique la plateforme.
Des chercheurs d’une societe de cybersecurite Check Point viennent de trouver 1 moyen Afin de les pirates de piller les donnees sensibles des utilisateurs de la celebre application de rencontre OkCupid. Une decouverte importante aussi que celle-ci a accueilli environ 50 millions d’utilisateurs enregistres voili le lancement. Elle s’impose de nos jours comme l’une des leaders du secteur des applications de rencontre, aux cotes de concurrents comme Tinder, Match ou Grindr. L’application conduit a l’organisation d’environ 50 000 rencontres par semaine.
Pourtant, alors que nos applications de rencontre connaissent une forte augmentation de leur nombre d’utilisateurs, celles-ci ont commence a revoir le fonctionnement de leurs plateformes. Et OkCupid n’a pas fera exception a cette regle. La plateforme de rencontre a Effectivement https://besthookupwebsites.org/fr/clover-review/ enregistre une augmentation de 20 % des conversations partout dans le monde et une augmentation de 10 % des rencontres depuis le debut des mesures de confinement imposees par la hurle sanitaire actuelle.
Reste qu’avec l’elargissement en base d’utilisateurs, nos informations personnelles paraissent exposees a un risque supplementaire si ma marketing n’est nullement a la hauteur. Cela pourrait etre l’eventualite avec OkCupid, comme l’a releve votre mercredi la societe de cybersecurite Check Point, qui possi?de revele un ensemble de vulnerabilites pouvant conduire a l’exposition de informations de profil sensibles sur l’application, au detournement de comptes d’utilisateurs mais aussi au vol de jetons d’authentification, d’identifiants et d’adresses electroniques des utilisateurs.
Les cookies a la rescousse
La version concernee par cette reperee reste la 40.3.1, dans Android 6.0.1. Les chercheurs en cybersecurite ont procede a l’ingenierie inverse du logiciel mobile et ont decouvert la fonctionnalite de „lien profond“, qui permet aux attaquants d’envoyer des liens personnalises et malveillants pour ouvrir l’application mobile. Resultat du jardinage : un attaquant pourrait envoyer une requete HTTP GET et une charge utile XSS a partir de le propre serveur, dont le JavaScript pourrait ensuite etre execute via WebView.
Si une victime clique dans 1 lien elabore – potentiellement envoye personnellement avec l’application ou poste concernant un forum public – les IIP, les precisions de profil, les caracteristiques de l’utilisateur – comme celles soumises lors une creation des profils – les preferences, nos adresses electroniques, les ID et les jetons d’authentification pourraient tous etre compromis et exfiltres vers le serveur de commande ainsi que controle de l’attaquant (C2).
Comme les vulnerabilites pourraient etre employees Afin de voler des identifiants et des jetons, cela pourrait egalement conduire nos attaquants a executer des actions en un nom, comme l’envoi de messages. Cependant, une prise de controle complete du compte n’est pas possible, en raison des protections existantes contre les cookies.
Probleme resolu selon OkCupid
Check Point a egalement trouve une politique de partage de ressources entre origines (CORS) en gali?re configuree au serveur API de api.OkCupid.com, permettant a toute origine d’envoyer des requetes au serveur ainsi que lire les reponses.
D’autres attaques pourraient conduire au filtrage des donnees des utilisateurs a partir du point final de l’API de profil. Si le vol d’informations soumises a une application de rencontre pourra ne point sembler si important, la richesse des informations personnelles aussi recoltees par les agresseurs pourrait etre utilisee dans des tentatives d’ingenierie sociale, entrainant des consequences bien plus nefastes.
« L’application et Notre plateforme ont ete creees Afin de rapprocher les gens, mais bien sur, la ou les mecs vont, nos criminels les suivront, a Notre recherche de proies faciles », ont De quelle fai§one nos chercheurs. Check Point Research a informe OkCupid de l’ensemble de ses conclusions et les problemes de securite paraissent maintenant resolus.
« Pas un seul utilisateur n’a ete touche par la vulnerabilite potentielle d’OkCupid, ainsi, nous avons pu la corriger au sein des 48 heures », rassure Notre societe editrice en plateforme. « Nous sommes reconnaissants a des partenaires comme Checkpoint qui, avec OkCupid, ont fera passer la securite et le quotidien privee de nos utilisateurs en premier », a egalement tenu a indiquer la direction d’la plateforme.