Uruchomiony w 2004 roku serwis OkCupid jest obecnie, obok Badoo i Tindera, jednym z wiodących bezpłatnych portali randkowych na świecie, z ponad 50 milionami zarejestrowanych użytkowników w 110 krajach. Podczas pandemii Covid-19 OkCupid odnotował około 20% wzrost liczby rozmów, sprawiając, że -podobnie jak inne media społecznościowe - stał się obiektem zainteresowania cyberprzestępców.
W związku z jej rosnącą popularnością serwisu, analitycy firmy Check Point postanowili zbadać bezpieczeństwo tej usługi. Wnioski okazały się zatrważające – luki w witrynie internetowej oraz aplikacji pozwalały potencjalnym hakerom na dostęp do pełnych danych profilowych użytkownika, prywatnych wiadomości, adresów czy ankiet profilujących. Odkryte podatności pozwalały również na manipulowanie danymi profilu docelowego i wysyłanie wiadomości do innych użytkowników, umożliwiając podszywanie się w celach dalszych złośliwych działań.
Badacze szczegółowo opisali trzystopniową metodę ataku, która umożliwiłaby hakerowi atakowanie użytkowników:
- Haker generuje złośliwy link zawierający „ładunek” inicjujący atak
- Haker wysyła link do bezpośrednio do użytkownika lub publikuje go na forum publicznym
- Gdy ofiara otworzy link, wykonywany jest złośliwy kod, umożliwiając hakerowi dostęp do konta ofiary.
- Nasze badanie nad OKCupid, jednej z najpopularniejszych platform randkowych, skłania nas do postawienia poważnego pytania dotyczącego bezpieczeństwa wszystkich aplikacji i witryn randkowych. Udowodniliśmy, że haker może uzyskać dostęp do prywatnych danych, wiadomości i zdjęć użytkowników. Zapewniam jednak, że OKCupid natychmiastowo zareagował na nasze ustalenia, łatając wskazane luki w swojej aplikacji mobilnej i witrynie – mówi Oded Vananu, szef dział badania podatności produktów w Check Point.
OkCupid potwierdził i naprawił luki bezpieczeństwa na swoich serwerach, więc użytkownicy nie muszą podejmować żadnych dodatkowych działań. Po ujawnieniu i naprawieniu luk OkCupid wydał następujące oświadczenie:
Firma Check Point Research poinformowała programistów OkCupid o lukach w zabezpieczeniach ujawnionych w tym badaniu, a rozwiązanie zostało wdrożone w sposób odpowiedzialny, aby zapewnić użytkownikom bezpieczne korzystanie z aplikacji OkCupid. Potencjalna luka w OkCupid nie dotknęła ani jednego użytkownika i byliśmy w stanie ją naprawić w ciągu 48 godzin. Jesteśmy wdzięczni partnerom takim jak Check Point, którzy dzięki OkCupid stawiają bezpieczeństwo i prywatność naszych użytkowników na pierwszym miejscu.
Szczegóły badania wraz z symulacją ataku dostępne są pod linkiem