Une faille de sécurité d’OkCupid menace les données des clients

Les chercheurs ont découvert une multitude de problèmes dans la populaire application de rencontres OkCupid, qui auraient pu permettre aux attaquants de collecter des données sensibles sur les utilisateurs, de manipuler leurs données de profil ou même d’envoyer des messages à partir de leur profil.

OkCupid est l’une des plateformes de rencontres les plus populaires au monde, avec plus de 50 millions d’utilisateurs enregistrés, pour la plupart âgés entre 25 et 34 ans. Les chercheurs ont trouvé des failles à la fois dans l’application mobile Android et la page Web du service. Ces failles pourraient avoir potentiellement révélé les détails complets du profil d’un utilisateur, les messages privés, l’orientation sexuelle, les adresses personnelles et toutes les réponses soumises aux questions de profilage d’OKCupid, ont-ils déclaré.

okcupid

Les failles sont corrigées, mais «nos recherches sur OKCupid, qui est l’une des applications les plus anciennes et les plus populaires de leur secteur, nous a conduit à soulever de sérieuses questions sur la sécurité des applications de rencontres», a déclaré Oded Vanunu, responsable de recherche sur la vulnérabilité des produits chez Check Point Research. «Les questions fondamentales sont les suivantes: Mes informations intimes sur l’application sont-elles sécurisées? Avec quelle facilité une personne que je ne connais pas peut accéder à mes photos, messages et informations les plus privés? Nous avons appris que les applications de rencontres sont loin d’être sécurisées. “

Les chercheurs de Check Point ont partagé leurs découvertes avec OKCupid, après quoi OkCupid a reconnu les problèmes et corrigé les failles de sécurité de leurs serveurs.

«Pas un seul utilisateur n’a été touché par la vulnérabilité potentielle d’OkCupid, et nous avons été en mesure de la réparer dans les 48 heures», a déclaré OkCupid dans un communiqué. “Nous sommes reconnaissants aux partenaires comme Check Point qui, avec OkCupid, accordent la priorité à la sécurité et à la confidentialité de nos utilisateurs.”

Les failles d’OkCupid

Pour mener à bien l’attaque, un pirate devrait convaincre les utilisateurs d’OkCupid de cliquer sur un seul lien malveillant afin d’exécuter ensuite du code malveillant dans les pages Web et mobiles. Un attaquant peut soit envoyer le lien directement à la victime sur la propre plate-forme d’OkCupid ou sur les réseaux sociaux), soit le publier sur un forum public. Une fois que la victime clique sur le lien malveillant, les données sont ensuite exfiltrées.

okcupid

La raison pour laquelle cela fonctionne est que le domaine principal OkCupid (https://www.OkCupid.com) était vulnérable à une attaque de script intersite (XSS). Lors du reverse-engineering de l’application OkCupid Android Mobile (v40.3.1 sur Android 6.0.1), les chercheurs ont découvert que l’application écoute les «intentions» qui suivent des schémas personnalisés (tels que le schéma personnalisé «OkCupid://») via un lien de navigateur . Les chercheurs ont pu injecter du code JavaScript malveillant dans le paramètre «section» des paramètres du profil utilisateur dans la fonctionnalité des paramètres (https://www.OkCupid.com/settings?section=).

Les attaquants pourraient utiliser une charge utile XSS qui charge un fichier de script à partir d’un serveur contrôlé par l’attaquant, avec du code JavaScript qui peut être utilisé pour l’exfiltration de données. Cela pourrait être utilisé pour dérober les jetons d’authentification des utilisateurs, les identifiants de compte, les cookies, ainsi que les données de compte sensibles telles que les adresses e-mail. Il pourrait également collecter les données de profil des utilisateurs, ainsi que leurs messages privés.

Ensuite, en utilisant le jeton d’autorisation et l’ID utilisateur, un attaquant pourrait exécuter des actions telles que la modification des données de profil et l’envoi de messages à partir du compte des utilisateurs: «L’attaque permet en fin de compte à un attaquant de se faire passer pour la victime, pour effectuer toutes les actions que l’utilisateur est capable d’exécuter et d’accéder à toutes les données de l’utilisateur », selon les chercheurs.

Applications de rencontre mises en examen

Ce n’est pas la première fois que la plate-forme OkCupid présente des failles de sécurité. En 2019, une faille critique a été trouvée dans l’application OkCupid qui pourrait permettre à un pirate de voler des informations d’identification, de lancer des attaques de type “man-in-the-middle” ou de compromettre complètement l’application de la victime. Par ailleurs, OKCupid a nié une violation de données après que des utilisateurs se soient plaints que leurs comptes avaient été piratés. D’autres applications de rencontres – notamment Coffee Meets Bagel, MobiFriends et Grindr – ont toutes eu leur part de problèmes de confidentialité, et beaucoup d’entre elles collectent et se réservent le droit de partager des informations.

En juin 2019, une analyse de ProPrivacy a révélé que les applications de rencontres, notamment Match et Tinder, collectaient tout, du contenu du chat aux données financières sur leurs utilisateurs, puis elles les partageaient. Leurs politiques de confidentialité se réservent également le droit de partager spécifiquement des informations personnelles avec des annonceurs et d’autres partenaires commerciaux. Le problème est que les utilisateurs ne sont souvent pas au courant de ces pratiques de confidentialité.

«Chaque créateur et utilisateur d’une application de rencontre devrait faire une pause pendant un moment pour réfléchir à ce qui peut être fait de plus en matière de sécurité, en particulier au moment où nous entrons dans ce qui pourrait être une cyberpandémie imminente», a déclaré Vanunu de Check Point. «Les applications contenant des informations personnelles sensibles, comme une application de rencontres, se sont avérées être la cible de pirates informatiques, d’où l’importance cruciale de les sécuriser.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x