Mes informations des utilisateurs de l’application de rencontre OkCupid en danger ?
Securite : Comme l’a releve Notre agence Check Point, l’application de rencontre OkCupid comprend une faille de securite mettant en danger les donnees de ses utilisateurs. Un probleme d’ores et deja resolu, explique la plateforme.
Des chercheurs en societe de cybersecurite Check Point viennent de reperer un moyen pour des pirates de piller les precisions sensibles des utilisateurs d’la celebre application de rencontre OkCupid. Une decouverte importante alors que celle-ci a accueilli environ 50 millions d’utilisateurs enregistres avec le lancement. Elle s’impose Actuellement comme l’une des leaders du secteur des applications de rencontre, aux cotes de concurrents comme Tinder, Match ou Grindr. L’application conduit a l’organisation d’environ 50 000 rencontres par semaine.
Pourtant, alors que des applications de rencontre connaissent une forte augmentation de leur nombre d’utilisateurs, celles-ci ont commence a revoir le fonctionnement de leurs plateformes. Et OkCupid n’a nullement fait exception a cette regle. J’ai plateforme de rencontre a Dans les faits enregistre une augmentation de 20 % des conversations dans le monde entier et une augmentation de 10 % des rencontres depuis le debut des mesures de confinement imposees par la crise sanitaire actuelle.
Reste qu’avec l’elargissement une base d’utilisateurs, des informations personnelles paraissent exposees a un risque supplementaire lorsque sa marketing n’est nullement a la hauteur. Et cela pourrait etre le cas avec OkCupid, comme l’a releve ce mercredi la societe de cybersecurite Check Point, qui possi?de revele un ensemble de vulnerabilites pouvant conduire a l’exposition de informations de profil sensibles sur l’application, au detournement de comptes d’utilisateurs mais aussi au vol de jetons d’authentification, d’identifiants et d’adresses electroniques des utilisateurs.
Mes cookies a la rescousse
J’ai version concernee par cette reperee reste la 40.3.1, dans Android 6.0.1. Les chercheurs en cybersecurite ont procede a l’ingenierie inverse du logiciel mobile et ont decouvert Notre fonctionnalite de «lien profond», qui permet aux attaquants d’envoyer des liens personnalises et malveillants pour ouvrir l’application mobile. Resultat du jardinage : votre attaquant pourrait envoyer une requete HTTP GET et une charge utile XSS a partir de le propre serveur, dont le JavaScript pourrait ensuite etre execute via WebView.
Si une victime clique concernant votre lien elabore – potentiellement envoye personnellement avec l’application ou poste concernant 1 forum public – les IIP, les informations de profil, les caracteristiques de l’utilisateur – comme celles soumises au cours d’une creation des profils – nos preferences, les adresses electroniques, les ID et les jetons d’authentification pourraient tous etre compromis et exfiltres aupres du serveur de commande et de controle de l’attaquant (C2).
Comme les vulnerabilites pourraient etre employees pour voler des identifiants et des jetons, i§a pourrait egalement conduire des attaquants a executer des actions en leur nom, comme l’envoi de messages. Cependant, une prise de controle complete du compte n’est nullement possible, en raison des protections existantes contre les cookies.
Probleme resolu selon OkCupid
Check Point a egalement trouve une politique de partage de ressources entre origines (CORS) en gali?re configuree au serveur API de api.OkCupid.com, permettant a toute origine d’envoyer des requetes au serveur et de lire les reponses.
D’autres attaques pourraient conduire au filtrage des informations des utilisateurs a partir du point final de l’API de profil. Si le vol d’informations soumises a une application de rencontre pourra ne point sembler si important, la richesse des precisions personnelles eventuellement recoltees par nos agresseurs pourrait etre utilisee dans des tentatives d’ingenierie sociale, entrainant des consequences bien plus nefastes.
« L’application et Notre plateforme ont ete creees pour rapprocher les mecs, mais evidemment, la ou les mecs vont, nos criminels des suivront, a J’ai recherche de proies faciles », ont De quelle fai§one des chercheurs. Check Point Research a informe OkCupid de l’ensemble de ses conclusions et les problemes de securite seront maintenant resolus.
« Pas un seul utilisateur n’a ete touche par la vulnerabilite potentielle d’OkCupid, et nous avons pu la corriger dans les 48 heures », rassure la societe editrice d’la plateforme. « Nous sommes reconnaissants a des partenaires comme Checkpoint qui, avec OkCupid, ont fera passer la securite et la vie privee de nos utilisateurs en premier », a egalement tenu a indiquer la direction d’la plateforme.