Rencontres sur les applications? Soyez conscient des risques potentiels de cybersécurité

Note de l'éditeur: Avec la manière moderne et itérative et agile de développer des applications et des sites Web, il n'est pas étonnant que les utilisateurs aient tendance à devenir des «bêta-testeurs» pour les entreprises. Les vulnérabilités ont tendance à être trouvées et corrigées, et de nouvelles vulnérabilités peuvent apparaître. Même la bonne vieille datation par rencontre en face à face, a été supplantée par des applications sur smartphones et écrans. Avec la numérisation des rencontres, il est impératif que les utilisateurs fassent attention aux applications qu'ils utilisent et aux personnes qu'ils «rencontrent» en ligne, de peur qu'ils ne tombent dans des escroqueries et d'autres incursions de cybersécurité plus graves. Check Point Software, l'un des principaux fournisseurs de cybersécurité, a récemment annoncé avoir aidé OKCupid à trouver des vulnérabilités et à corriger ces failles sur le site Web et l'application de la société de rencontres. Le communiqué de presse du fournisseur est ci-dessous.


Éviter les catastrophes de rencontres: la recherche Check Point aide à atténuer les vulnérabilités importantes du site Web et de l'application mobile d'OkCupid

Les chercheurs de Check Point démontrent comment un pirate informatique aurait pu accéder aux données sensibles des utilisateurs - détails du profil complet, messages privés, images et adresses e-mail - sur OkCupid, la principale plateforme de rencontres en ligne gratuite

SINGAPOUR - 30 juillet 2020 - Check Point Research, la branche Threat Intelligence de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l'un des principaux fournisseurs de solutions de cybersécurité au niveau mondial, a récemment identifié et aidé à atténuer plusieurs failles de sécurité sur le site Web et l'application mobile d'OkCupid. Si elles étaient exploitées, les vulnérabilités auraient permis à un pirate d'accéder et de voler les données privées des utilisateurs d'OkCupid, et d'envoyer des messages depuis leur compte à l'insu des utilisateurs.

Lancé en 2004, OkCupid est désormais l'un des principaux services de rencontres en ligne gratuits au monde avec plus de 50 millions d'utilisateurs enregistrés et utilisé dans 110 pays. En 2019, 91 millions de connexions ont été effectuées via le site chaque année, avec une moyenne de 50,000 dates organisées chaque semaine. Pendant le Covid-19 pandémie, OkCupid a vu une augmentation de 20% des conversations. Cependant, les informations personnelles détaillées soumises par les utilisateurs font également des services de rencontres en ligne des cibles pour les acteurs de la menace, soit pour des attaques ciblées, soit pour la vente à d'autres pirates.

Les chercheurs de Check Point ont démontré que les vulnérabilités de l'application et du site Web d'OkCupid pouvaient donner à un pirate l'accès aux détails complets du profil d'un utilisateur, aux messages privés, à l'orientation sexuelle, aux adresses personnelles et à toutes les réponses soumises aux questions de profilage d'OkCupid. Les failles auraient également permis au pirate de manipuler les données de profil de l'utilisateur cible et d'envoyer de nouveaux messages à d'autres utilisateurs à partir de son compte - permettant au pirate de se faire passer pour l'utilisateur réel pour d'autres activités frauduleuses ou malveillantes.

Les chercheurs ont détaillé la méthode d'attaque en trois étapes qui aurait permis à un pirate de cibler les utilisateurs:

  1. Le hacker génère un lien malveillant contenant une charge utile ciblée qui initie l'attaque
  2. Le pirate envoie le lien à la cible visée, ou le publie dans un forum public sur lequel les utilisateurs peuvent cliquer
  3. Une fois que la victime clique sur le lien pour l'ouvrir, le code malveillant est exécuté, donnant au pirate l'accès au compte de la cible

Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, a déclaré: «Nos recherches sur OkCupid, l'une des plates-formes de rencontres les plus populaires, ont soulevé de sérieuses questions sur la sécurité de toutes les applications et sites de rencontres. Nous avons démontré que les détails, les messages et les photos privés des utilisateurs pouvaient être consultés et manipulés par un pirate informatique, de sorte que chaque développeur et utilisateur d'une application de rencontre devrait faire une pause pour réfléchir aux niveaux de sécurité autour des détails et des images intimes qu'ils hébergent et partagent. ces plates-formes. Heureusement, OkCupid a répondu à nos résultats immédiatement et de manière responsable pour atténuer ces vulnérabilités sur leur application mobile et leur site Web. »

Les chercheurs de Check Point ont divulgué leurs découvertes de manière responsable à OkCupid. OkCupid a reconnu et corrigé les failles de sécurité de ses serveurs, de sorte que les utilisateurs n'ont pas besoin de prendre de mesures. Suite à la divulgation et à la correction des vulnérabilités, OkCupid a publié cette déclaration: «Check Point Research a informé les développeurs d'OkCupid des vulnérabilités exposées dans cette recherche et une solution a été déployée de manière responsable pour garantir que ses utilisateurs peuvent continuer à utiliser l'application OkCupid en toute sécurité. Pas un seul utilisateur n'a été touché par la vulnérabilité potentielle d'OkCupid, et nous avons pu la corriger dans les 48 heures. Nous sommes reconnaissants aux partenaires comme Check Point qui, avec OkCupid, font passer la sécurité et la confidentialité de nos utilisateurs avant tout.

Pour plus de détails sur les vulnérabilités et une vidéo montrant comment elles pourraient être exploitées, visitez https://research.checkpoint.com

À propos de Check Point Research
Check Point Research fournit des renseignements de pointe sur les cybermenaces aux clients de Check Point Software et à l'ensemble de la communauté du renseignement. L'équipe de recherche recueille et analyse les données mondiales de cyber-attaque stockées sur ThreatCloud pour tenir les pirates à distance, tout en s'assurant que tous les produits Check Point sont mis à jour avec les dernières protections. L'équipe de recherche se compose de plus de 100 analystes et chercheurs qui coopèrent avec d'autres fournisseurs de sécurité, les forces de l'ordre et divers CERT.

Suivez Check Point Research via:

À propos de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) est l'un des principaux fournisseurs de solutions de cybersécurité aux gouvernements et aux entreprises du monde entier. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération avec un taux de capture de logiciels malveillants, de ransomwares et de menaces ciblées avancées. Check Point propose une architecture de sécurité à plusieurs niveaux, «Infinity Total Protection with Gen V Advanced Threat Prevention», cette architecture de produit combinée défend le cloud, le réseau et les appareils mobiles d'une entreprise. Check Point fournit le système de gestion de la sécurité de contrôle le plus complet et le plus intuitif. Check Point protège plus de 100,000 XNUMX organisations de toutes tailles.

###