Check Point encontra vulnerabilidades críticas no site OkCupid

Crédito Imagem: Imagem de amrothman por Pixabay
Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software Technologies, identificaram e ajudaram a resolver várias vulnerabilidades críticas no site e no aplicativo móvel OkCupid. No caso de um cibercriminoso tentar explorar essas falhas de segurança, ele poderia ter acesso e roubar informação privada e confidencial dos usuários desse serviço, bem como enviar mensagens a partir dos seus perfis sem o conhecimento deles.
Lançado em 2004, o OkCupid é um dos principais serviços online gratuitos para relacionamentos do mundo com mais de 50 milhões de usuários registrados em 110 países. Em 2019, este aplicativo promoveu em torno de 91 milhões de conexões entre as pessoas resultando em mais de 50 mil encontros por semana. Durante a pandemia da Covid-19, esse serviço alcançou um crescimento de 20% no total das conversas. No entanto, a quantidade de informações e os detalhes pessoais que os usuários disponibilizam no momento da criação dos seus perfis convertem aplicativos como o OkCupid em alvos atraentes para os cibercriminosos, quer para ataques direcionados aos seus usuários ou para obter informações que serão vendidas posteriormente a terceiros.

Os pesquisadores da Check Point encontraram vulnerabilidades no aplicativo e no site do OkCupid que poderiam dar a um cibercriminoso o acesso total ao perfil de um usuário, suas mensagens privadas, orientação sexual, endereço residencial e respostas enviadas para o questionário de preenchimento obrigatório no momento da abertura de um perfil nesse aplicativo móvel. Essas vulnerabilidades também possibilitariam a manipulação dos dados da pessoa alvo e o envio de novas mensagens a outros contatos de sua conta, de modo que o cibercriminoso se passasse por ela para realizar atividades fraudulentas ou maliciosas.
Como esta vulnerabilidade funciona
Os pesquisadores detalharam o método de ataque em três etapas utilizado pelos cibercriminosos com o qual procuraram explorar a vulnerabilidade:
1. Gerar um link maliciosos contendo um payload (uma carga) para desencadear o ataque.
2. Enviar o link à vítima ou publicá-lo num fórum aberto para que os usuários cliquem nele.
3. Uma vez que o link tenha sido acessado, o código malicioso é executado permitindo ao cibercriminoso o acesso à conta da vítima.
“A análise que realizamos sobre o OkCupid, uma das plataformas de relacionamento online mais popular, se centrou na dúvida que tínhamos com relação aos níveis de segurança deste tipo de aplicativo. Demonstramos que um cibercriminoso poderia manipular a informação sigilosa, fotografias e mensagens das pessoas, razão pela qual todos os desenvolvedores de aplicativos de relacionamentos e seus usuários devem parar e refletir sobre as garantias de segurança oferecidas à sua informação e fotografias privadas que são hospedadas e compartilhadas por meio deste tipo de aplicativo. Felizmente, a empresa OkCupid atuou de imediato em relação à nossa descoberta e implementou as recomendações, resolvendo as vulnerabilidades no seu aplicativo móvel e site”, relata Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point.
Os pesquisadores da Check Point divulgaram com responsabilidade suas descobertas aos responsáveis do OkCupid, os quais reconheceram as falhas de segurança em seus servidores e solucionaram as mesmas de modo que os usuários não tivessem de realizar qualquer tipo de ação extra. De acordo com uma declaração emitida por eles, “a Check Point Research informou aos nossos desenvolvedores sobre as vulnerabilidades encontradas, bem como a resolução das falhas para garantir que os usuários continuassem utilizando o aplicativo de forma segura. Nenhum usuário foi impactado por estas vulnerabilidades, já que fomos capazes de corrigi-las em 48 horas. Agradecemos o apoio de parceiros como a Check Point que nos ajudam a manter a segurança e privacidade dos usuários como uma das nossas prioridades”.
Em março deste ano, especialistas do CyberNews, um site de notícias sobre tecnologia, análises e avaliação de produtos dos Estados Unidos, descobriram outro problema em que era possível rastrear usuários do OkCupid e encontrar sua localização exata. A OkCupid corrigiu esse problema na ocasião, logo após o CyberNews ter reportado isso aos responsáveis.
Para saber mais detalhes sobre as vulnerabilidades identificadas pelos pesquisadores da Check Point e assistir ao vídeo explicativo sobre como os cibercriminosos poderiam explorá-las, acesse em https://research.checkpoint.com