опубликовано

Краткое содержание редактора: при современном итеративном и гибком способе разработки приложений и веб-сайтов неудивительно, что пользователи становятся «бета-тестерами» для компаний. Уязвимости обычно обнаруживаются и исправляются, и могут возникать новые уязвимости. Даже старые добрые знакомства с личными встречами были вытеснены приложениями на смартфонах и экранах. С цифровизацией системы знакомств крайне важно, чтобы пользователи были осторожны с приложениями, которые они используют, и людьми, с которыми они «встречаются» в Интернете, чтобы не попасть в мошенничество и другие более серьезные вторжения в кибербезопасность. Check Point Software, ведущий поставщик средств кибербезопасности, недавно объявил, что они помогли OKCupid найти уязвимости и исправить эти недостатки на сайте и в приложении компании знакомств. Пресс-релиз производителя находится ниже.


Как избежать бедствий при свиданиях: исследования Check Point помогают снизить значительную уязвимость веб-сайта и мобильного приложения OkCupid

Исследователи Check Point демонстрируют, как хакер мог получить доступ к конфиденциальным данным пользователей - полным данным профиля, личным сообщениям, изображениям и адресам электронной почты - на OkCupid, ведущей бесплатной платформе онлайн-знакомств.

СИНГАПУР - 30 июля 2020 г. - Check Point Research, подразделение по анализу угроз Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущий поставщик решений для кибербезопасности во всем мире, недавно обнаружил и помог устранить несколько недостатков безопасности на веб-сайте и в мобильном приложении OkCupid. В случае эксплуатации уязвимости позволили бы хакеру получить доступ и украсть личные данные пользователей OkCupid, а также отправлять сообщения из их учетной записи без ведома пользователей.

OkCupid, запущенный в 2004 году, в настоящее время является одним из ведущих бесплатных онлайн-сервисов знакомств во всем мире с более чем 50 миллионами зарегистрированных пользователей и используется в 110 странах. В 2019 году через сайт было установлено 91 миллион подключений ежегодно, при этом каждую неделю проводилось в среднем 50,000 свиданий. Вовремя Covid-19 пандемия, OkCupid видел рост разговоров на 20%. Однако подробная личная информация, представленная пользователями, также делает службы онлайн-знакомств целями для злоумышленников либо для целевых атак, либо для продажи другим хакерам.

Исследователи Check Point продемонстрировали, что уязвимости в приложении и веб-сайте OkCupid могут предоставить хакеру доступ к полным данным профиля пользователя, личным сообщениям, сексуальной ориентации, личным адресам и всем отправленным ответам на вопросы профилирования OkCupid. Недостатки также позволили бы хакеру манипулировать данными профиля целевого пользователя и отправлять новые сообщения другим пользователям из своей учетной записи, позволяя хакеру выдавать себя за настоящего пользователя для дальнейших мошеннических или злонамеренных действий.

Исследователи подробно описали трехэтапный метод атаки, который позволил бы хакеру атаковать пользователей:

  1. Хакер создает вредоносную ссылку, содержащую целевую полезную нагрузку, которая инициирует атаку.
  2. Хакер отправляет ссылку на предполагаемую цель или публикует ее на публичном форуме, чтобы пользователи могли нажать на нее.
  3. Как только жертва щелкает ссылку, чтобы открыть ее, запускается вредоносный код, предоставляя хакеру доступ к учетной записи цели.

Одед Вануну, руководитель отдела исследования уязвимостей продуктов в Check Point, сказал: «Наше исследование OkCupid, одной из самых популярных платформ для знакомств, подняло ряд серьезных вопросов по поводу безопасности всех приложений и веб-сайтов для знакомств. Мы продемонстрировали, что хакер может получить доступ к личным данным, сообщениям и фотографиям пользователей, поэтому каждый разработчик и пользователь приложения для знакомств должен сделать паузу, чтобы подумать об уровнях безопасности интимных деталей и изображений, которые они размещают и на которых делятся. эти платформы. К счастью, OkCupid немедленно и ответственно отреагировал на наши выводы, чтобы уменьшить эти уязвимости в своем мобильном приложении и на веб-сайте ».

Исследователи Check Point ответственно раскрыли свои выводы OkCupid. OkCupid признал и исправил недостатки безопасности на своих серверах, поэтому пользователям не нужно предпринимать никаких действий. После раскрытия и исправления уязвимостей OkCupid опубликовал следующее заявление: «Check Point Research проинформировала разработчиков OkCupid об уязвимостях, обнаруженных в этом исследовании, и было ответственно развернуто решение, чтобы пользователи могли безопасно продолжать использовать приложение OkCupid. Потенциальная уязвимость OkCupid не затронула ни одного пользователя, и мы смогли исправить ее в течение 48 часов. Мы благодарны таким партнерам, как Check Point, которые с OkCupid ставят безопасность и конфиденциальность наших пользователей на первое место ».

Для получения подробной информации об уязвимостях и видео, показывающего, как они могут быть использованы, посетите https://research.checkpoint.com

О Check Point Research
Check Point Research предоставляет передовую аналитическую информацию о киберугрозах Check Point Software заказчики и более широкое разведывательное сообщество. Исследовательская группа собирает и анализирует глобальные данные о кибератаках, хранящиеся в ThreatCloud, чтобы держать хакеров в страхе, обеспечивая при этом обновление всех продуктов Check Point с помощью последних средств защиты. Исследовательская группа состоит из более чем 100 аналитиков и исследователей, сотрудничающих с другими поставщиками систем безопасности, правоохранительными органами и различными CERT.

Следите за Check Point Research через:

О команде Check Point Software Технологии ООО
Check Point Software Technologies Ltd. (www.checkpoint.com) - ведущий поставщик решений в области кибербезопасности для правительств и корпоративных предприятий во всем мире. Решения Check Point защищают клиентов от кибератак 5-го поколения за счет лучшего в отрасли показателя обнаружения вредоносных программ, программ-вымогателей и сложных целевых угроз. Check Point предлагает многоуровневую архитектуру безопасности «Infinity Total Protection с расширенным предотвращением угроз поколения V». Эта комбинированная архитектура продукта защищает корпоративное облако, сеть и мобильные устройства. Check Point предоставляет наиболее полную и интуитивно понятную систему управления безопасностью из одной точки. Check Point защищает более 100,000 XNUMX организаций любого размера.

###