发表于

编者简介:通过开发应用程序和网站的现代迭代和敏捷方法,难怪用户倾向于成为公司的“ beta测试人员”。 容易发现和修补漏洞,并且可能会出现新的漏洞。 即使是通过面对面交流的老式约会,也已被智能手机和屏幕上的应用程序所取代。 随着约会的数字化,当务之急是用户要小心他们使用的应用程序以及他们在网上“遇到”的人,以免他们陷入骗局和其他更可怕的网络安全入侵中。 Check Point Software一家领先的网络安全供应商,最近宣布,他们已协助OKCupid查找漏洞并帮助修复约会公司网站和应用程序中的这些缺陷。 供应商的新闻发布如下。


避免约会灾难:Check Point Research帮助缓解OkCupid网站和移动应用程序中的重大漏洞

Check Point研究人员演示了黑客如何在领先的免费在线约会平台OkCupid上访问用户的敏感数据-完整的个人资料详细信息,私人消息,图像和电子邮件地址-

新加坡– 30年2020月XNUMX日 – Check Point Research,美国威胁情报部门 CheckPoint®软件技术有限公司 (NASDAQ:CHKP)是全球网络安全解决方案的领先提供商,最近发现并帮助缓解了OkCupid网站和移动应用程序上的一些安全漏洞。 如果被利用,该漏洞将允许黑客访问和窃取OkCupid用户的私人数据,并在用户不知情的情况下从其帐户发送消息。

OkCupid于2004年推出,现已成为全球领先的免费在线约会服务之一,拥有超过50万注册用户,并在110个国家/地区使用。 In 2019, 91 million connections were made via the site annually, with an average of 50,000 dates arranged every week.在XNUMX年,通过该站点每年进行XNUMX万次连接,每周平均安排XNUMX个日期。 During the在此期间 Covid-19 pandemic, OkCupid has seen a 20% increase in conversations.大流行时,OkCupid的对话量增加了XNUMX%。 However, the detailed personal information submitted by users also makes online dating services targets for threat actors, either for targeted attacks, or for selling on to other hackers.但是,用户提交的详细个人信息也会成为威胁参与者的在线约会服务目标,无论是针对性攻击还是向其他黑客销售。

Check Point研究人员证明,OkCupid应用程序和网站中的漏洞可能使黑客能够访问用户的完整个人资料详细信息,私人消息,性取向,个人地址,以及所有提交的针对OkCupid分析问题的答案。 这些缺陷还使黑客能够操纵目标用户的个人资料数据,并从其帐户向其他用户发送新消息,从而使黑客能够冒充真实用户进行进一步的欺诈或恶意活动。

研究人员详细介绍了三步攻击方法,该方法可以使黑客针对用户:

  1. 黑客会生成包含目标有效载荷的恶意链接,从而启动攻击
  2. 黑客将链接发送到预期目标,或将其发布在公共论坛中,供用户单击
  3. 一旦受害者单击链接将其打开,便会执行恶意代码,从而使黑客能够访问目标的帐户

Check Point产品漏洞研究主管Oded Vanunu表示:“我们对OkCupid(这是最受欢迎的约会平台之一)的研究对所有约会应用程序和网站的安全性提出了一些严峻的问题。 我们证明了黑客可以访问和操纵用户的私人详细信息,消息和照片,因此约会应用程序的每个开发人员和用户都应暂停一下以反映他们所托管和共享的私人详细信息和图像的安全级别。这些平台。 值得庆幸的是,OkCupid立即并负责任地回应了我们的发现,以减轻他们在移动应用程序和网站上的这些漏洞。”

Check Point研究人员负责地向OkCupid披露了他们的发现。 OkCupid确认并修复了其服务器中的安全漏洞,因此用户无需采取任何措施。 OkCupid上的潜在漏洞没有影响任何用户,我们能够在48小时内修复它。 We're grateful to partners like Check Point who with OkCupid, put the safety and privacy of our users first.”我们感谢Check Point等合作伙伴,他们与OkCupid一起将用户的安全和隐私放在首位。”

有关该漏洞的详细信息以及显示如何利用这些漏洞的视频,请访问 https://research.checkpoint.com

关于Check Point研究
Check Point Research为您提供领先的网络威胁情报 Check Point Software 客户和更大的情报界。 研究团队收集并分析存储在ThreatCloud上的全球网络攻击数据,以阻止黑客攻击,同时确保所有Check Point产品都已得到最新保护。 该研究团队由100多名分析师和研究人员组成,他们与其他安全厂商,执法部门和各种CERT合作。

通过以下方式关注Check Point Research:

关于我们 Check Point Software 技术公司
Check Point Software Technologies Ltd.(www.checkpoint.com)是为全球政府和企业提供网络安全解决方案的领先提供商。 Check Point的解决方案以行业领先的恶意软件,勒索软件和高级针对性威胁捕获率,保护客户免受第五代网络攻击。 Check Point提供了多层安全架构,“具有Gen V高级威胁防御功能的Infinity全面保护”,这种组合的产品架构可以保护企业的云,网络和移动设备。 Check Point提供最全面,最直观的控制安全管理系统。 Check Point可保护超过5个各种规模的组织。

###