Des vulnérabilités d'OkCupid découvertes qui auraient pu permettre aux pirates d'accéder aux détails personnels des daters en ligne

Des vulnérabilités d'OkCupid découvertes qui auraient pu permettre aux pirates d'accéder aux détails personnels des daters en ligne

Les chercheurs en sécurité ont identifié plusieurs vulnérabilités sur le Web et les plates-formes mobiles du site de rencontres en ligne OkCupid qui auraient pu permettre à des pirates de voler les données privées des utilisateurs. Les données peuvent inclure les détails complets du profil, les messages privés, l'orientation sexuelle, les adresses personnelles et même toutes les réponses soumises aux questions de profilage d'OkCupid. L'équipe d'OkCupid aurait corrigé les failles dans les 48 heures suivant la réception de leurs coordonnées. Il a également déclaré que les vulnérabilités n'avaient affecté aucun de ses utilisateurs.

Les chercheurs de Check Point Research ont révélé les vulnérabilités d'OkCupid qui auraient pu permettre aux pirates d'accéder aux données des utilisateurs. Le travail de recherche s'est déroulé via l'application OkCupid Android version 40.3.1 sur Android 6.0.1. Lors de la rétro-ingénierie de l'application mobile, les chercheurs ont découvert une fonctionnalité de «liens profonds» qui pourrait fournir un accès détourné aux pirates pour envoyer des liens malveillants.

Lors du test de l'application mobile, l'équipe des chercheurs a également pu trouver le domaine principal OkCupid vulnérable aux attaques de scripts intersites (XSS). Ces deux failles pourraient être combinées pour permettre à un pirate d'envoyer des liens spécialement conçus aux utilisateurs et de voler leurs données personnelles.

Les chercheurs ont déclaré qu'au moment de leurs tests, ils avaient vu que le serveur avait répondu avec toutes les informations concernant le profil de la victime, y compris le courrier électronique et la situation familiale.

"Effectuer des actions au nom de la victime est également possible en raison de l'exfiltration du jeton d'authentification de la victime et de l'identifiant des utilisateurs", ont noté les chercheurs dans un blog.

De plus, les chercheurs de Check Point ont trouvé une stratégie CROS (Cross-Origin Resource Sharing) mal configurée dans un serveur API d'OkCupid. Cela pourrait même permettre aux pirates de filtrer les données des utilisateurs à partir du point de terminaison de l'API de profil et de les laisser lire les conversations personnelles de la victime.

«Pas un seul utilisateur n'a été touché par la vulnérabilité potentielle d'OkCupid, et nous avons été en mesure de la réparer dans les 48 heures», a répondu OkCupid à Check Point lors de sa découverte.

Les rencontres en ligne ont atteint de nouveaux niveaux en raison de l'épidémie de coronavirus qui a entraîné des restrictions pour rencontrer des personnes physiquement. OkCupid lui-même a également remarqué une augmentation de 20% des conversations et une augmentation de 10% des matchs dans le monde. Cependant, certaines références montrent que les personnes qui se rencontrent en ligne ne sont pas aussi sûres en raison de vulnérabilités potentielles et du nombre croissant de violations de données.


En 2020, WhatsApp obtiendra-t-il la fonctionnalité tueur que tous les Indiens attendent? Nous en avons discuté sur Orbital, notre podcast technologique hebdomadaire, auquel vous pouvez vous abonner via Apple Podcasts ou RSS, télécharger l'épisode ou simplement cliquer sur le bouton de lecture ci-dessous.

No Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles récents