Os investigadores da Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. descobriram e ajudaram a resolver várias vulnerabilidades críticas na página web e na aplicação móvel de OkCupid. No caso de um cibercriminoso tentar explorar estas falhas de segurança, poderia ter acesso e roubar informação privada e confidencial dos utilizadores deste serviço, bem como enviar mensagens a partir do seu perfil sem que a pessoa soubesse disso.
O OkCupid, iniciou a sua atividade em 2004, e é um dos principais serviços online gratuitos para relacionamentos a nível mundial com mais de 50 milhões de utilizadores em 110 países. Em 2019, esta aplicação produziu mais de 91 milhões de conexões entre utilizadores, e ocorreram mais de 50 000 encontros por semana. Durante a crise de COVID-19, este serviço experimentou um crescimento de cerca de 20% no total das conversações. A quantidade de informação e detalhes pessoais que os utilizadores disponibilizam no momento da criação dos seus perfis converte aplicações como o OkCupid num alvo apetecível para os cibercriminosos, quer para ataques dirigidos diretamente aos utilizadores ou para obter informação que será vendida a posteriori a terceiros.
Os investigadores da Check Point encontraram vulnerabilidades na app e na página web da OkCupid que permitem a um cibercriminoso ter acesso total ao perfil de um utilizador, mensagens privadas, orientação sexual, morada e as respostas ao inquérito que a aplicação obriga a efetuar no momento da abertura de um perfil. As falhas de segurança também permitiam a possibilidade de manipular os dados do perfil do utilizador e enviar novas mensagens a outros contatos dentro da aplicação, utilizando a identidade do verdadeiro dono da conta para realizar atividades fraudulentas.
Como funciona esta vulnerabilidade?
Os investigadores detalham os três passos do método de ataque utilizado pelos cibercriminosos que procurassem explorar a vulnerabilidade:
- Gerar um link com uma aplicação maliciosa que desencadeie o ataque
- Enviar o link à vítima ou publicá-la num fórum aberto para que os utilizadores cliquem
- Uma vez que o link redirige para uma página web, é executado o código malicioso, que permite ter acesso à conta da vítima
Oded Vanunu, Head of Products Vulnerability Research da Check Point esclarece que “a análise que fizemos ao OkCupid, uma das plataformas de encontros online mais populares, centrou-se na dúvida que tínhamos nos níveis de segurança deste tipo de aplicações. Demonstramos que um cibercriminoso poderia manipular a informação sigilosa, fotografias e mensagens dos utilizadores, razão pela qual todos so programadores de aplicações de encontros amorosos e seus utilizadores devem parar e refletir sobre as garantias de segurança oferecidas à sua informação e fotografías privadas que são colocadas e partilhadas através deste tipo de aplicações. Afortunadamente, a OkCupid atuou de imediato a esta nossa descoberta e implementou as recomendações, resolvendo as vulnerabilidades da sua app e página web”.
Os investigadores da Check Point partilharam as suas conclusões com os responsáveis da OkCupid, os quais reconheceram as falhas de segurança e solucionaram as mesmas de modo a que os utilizadores não tivessem que realizar qualquer tipo de ação extra. Também partilharam o seguinte testemunho: “A Check Point Research informou os nossos programadores da OkCupid sobre as vulnerabilidades encontradas, bem como a forma como resolver esta falha e garantir que os utilizadores pudessem continuar a utilizar a aplicação de forma sergura. Nenhum utilizador foi afetado por esta vulnerabilidade, já que fomos capazes de reparar em 48 horas. Estamos muito agradecidos a parceiros como a Check Point, que nos ajudam a manter a segurança e privacidade dos utilizadores como uma das nossas prioridades.”
Poderá encontrar mais detalhes sobre esta vulnerabilidade e um vídeo explicativo sobre como os cibercriminosos poderiam explorar esta falha de segurança em https://research.checkpoint.com
