I ricercatori di Check Point Software Technologies hanno rilevato seri problemi di sicurezza nelle app di incontri dopo aver dimostrato che gli aggressori avrebbero potuto avere accesso ai dati sensibili e privati su OKCupid, app gratuita di incontri online con oltre 50 milioni di utenti registrati e utilizzata in 110 Paesi.
Attraverso le vulnerabilità rilevate nelle piattaforme web e mobile di OKCupid, Check Point ha dimostrato che un hacker avrebbe potuto rubare i dati privati di un utente di OKCupid. I dettagli completi del profilo, i messaggi privati, l’orientamento sessuale, gli indirizzi personali e tutte le risposte fornite alle domande di profilazione di OKCupid erano infatti accessibili a un potenziale aggressore.
Inoltre, i ricercatori hanno dimostrato che quest’ultimo avrebbe potuto compiere azioni dannose, come manipolare i dati del profilo dell’utente e inviare messaggi, per conto di una vittima, senza che l’utente ne fosse a conoscenza.
OKCupid, come tutte le altre app di incontri, nell’ultimo periodo ha riscontrato un boom non indifferente, con l’aumento di download, complici le misure di distanziamento sociale e il lockdown.
Bastava un solo link dannoso
Per effettuare l’attacco, un hacker avrebbe potuto eseguire il codice dannoso nelle pagine web e mobile di OkCupid generando un unico link malevolo da inviare agli utenti.
Un semplice link creato ad hoc, anche inviato privatamente e puntando sul romanticismo, se aperto dalla vittima, consentiva la trasmissione dei dati sensibili all’hacker.
Check Point ha delineato il metodo di attacco in tre fasi:
- Generazione di un link contenente un workload per avviare l’attacco
- Invio del link alla vittima o pubblicazione in un forum pubblico
- Dopo il clic sul link, il codice dannoso viene eseguito, con conseguente perdita dei dati
In ultima analisi, l’attacco consentiva a un aggressore di mascherarsi da vittima, per compiere qualsiasi azione che l’utente è in grado di fare e di accedere a qualsiasi dato.
Comunicazione responsabile:
I ricercatori hanno divulgato responsabilmente le loro scoperte a OKCupid, che ha riconosciuto e corretto le falle di sicurezza nei loro server.