Securite : Comme l’a releve J’ai agence Check Point, l’application de rencontre OkCupid contient une faille de securite mettant en danger les donnees de ses utilisateurs. Un probleme d’ores et deja resolu, explique la plateforme.
Plusieurs chercheurs d’la societe de cybersecurite Check Point viennent de trouver votre moyen Afin de des pirates de piller les informations sensibles des utilisateurs de la celebre application de rencontre OkCupid. Une reperee consequente aussi que celle-ci a accueilli environ 50 millions d’utilisateurs enregistres de son lancement. Elle s’impose aujourd’hui comme l’une des leaders du secteur des applications de rencontre, a toutes les cotes de concurrents comme Tinder, Match ou Grindr. L’application conduit a l’organisation d’environ 50 000 rencontres par semaine.
Pourtant, aussi que des applications de rencontre connaissent une forte augmentation de leur nombre d’utilisateurs, celles-ci ont commence a revoir le fonctionnement de leurs plateformes. Et OkCupid n’a nullement fera exception a cette regle. La plateforme de rencontre a en effet enregistre une augmentation de 20 % des conversations partout dans le monde et une augmentation de 10 % des rencontres depuis le rencontre pour adultes strapon debut des mesures de confinement imposees par la crise sanitaire actuelle.
Reste qu’avec l’elargissement de la base d’utilisateurs, des informations personnelles paraissent exposees a un risque supplementaire lorsque votre securite n’est nullement a la hauteur. Ce qui pourrait etre l’eventualite avec OkCupid, tel l’a releve ce mercredi la societe de cybersecurite Check Point, qui a revele un ensemble de vulnerabilites pouvant conduire a l’exposition de donnees de profil sensibles sur l’application, au detournement de comptes d’utilisateurs ou bien au vol de jetons d’authentification, d’identifiants et d’adresses electroniques des utilisateurs.
Les cookies a la rescousse
La version concernee par cette decouverte reste la 40.3.1, concernant Android 6.0.1. Les chercheurs en cybersecurite ont procede a l’ingenierie inverse du logiciel mobile et ont decouvert la fonctionnalite de “lien profond”, qui permet a toutes les attaquants d’envoyer des liens personnalises et malveillants pour ouvrir l’application mobile. Resultat des courses : un attaquant pourrait envoyer une requete HTTP GET et une charge utile XSS a partir de son propre serveur, dont le JavaScript pourrait ensuite etre execute via WebView.
Si une victime clique dans 1 lien elabore – potentiellement envoye personnellement via l’application ou poste concernant 1 forum public – les IIP, les informations de profil, les caracteristiques de l’utilisateur – comme celles soumises au cours d’la composition des profils – les preferences, nos adresses electroniques, les ID et les jetons d’authentification pourraient tous etre compromis et exfiltres vers le serveur de commande et de controle de l’attaquant (C2).
Comme les vulnerabilites pourraient etre employees pour voler des identifiants et des jetons, i§a pourrait egalement conduire des attaquants a executer des actions en leur nom, comme l’envoi de messages. Cependant, une prise de controle complete du compte n’est nullement possible, en raison des protections existantes contre nos cookies.
Probleme resolu d’apri?s OkCupid
Check Point a egalement trouve une politique de partage de ressources entre origines (CORS) mal configuree dans le serveur API de api.OkCupid.com, permettant a toute origine d’envoyer des requetes au serveur et de lire les reponses.
D’autres attaques pourraient conduire au filtrage des informations des utilisateurs a partir du point final de l’API de profil. Si le vol d’informations soumises a une application de rencontre va ne pas sembler si important, la richesse des informations personnelles aussi recoltees par nos agresseurs pourrait etre utilisee dans des tentatives d’ingenierie sociale, entrainant des consequences bien plus nefastes.
« L’application et J’ai plateforme ont ete creees pour rapprocher les mecs, mais bien sur, la ou les gens vont, des criminels nos suivront, a J’ai recherche de proies faciles », ont commente des chercheurs. Check Point Research a informe OkCupid de ses conclusions et les problemes de securite seront dorenavant resolus.
« Pas un seul utilisateur n’a ete touche par la vulnerabilite potentielle d’OkCupid, ainsi, nous avons pu la corriger au sein des 48 heures », rassure J’ai societe editrice une plateforme. « Nous sommes reconnaissants a des partenaires comme Checkpoint qui, avec OkCupid, ont fera passer la securite et notre vie privee de nos utilisateurs en premier », a egalement tenu a indiquer la direction d’la plateforme.
