Los investigadores de seguridad identificaron múltiples vulnerabilidades en la Web y las plataformas móviles del sitio de citas en línea OkCupid que podrían haber permitido a los piratas informáticos robar datos privados de los usuarios. Los datos podrían incluir detalles completos del perfil, mensajes privados, orientación sexual, direcciones personales e incluso todas las respuestas enviadas a las preguntas de perfil de OkCupid. Se afirma que el equipo de OkCupid ha solucionado los defectos dentro de las 48 horas posteriores a la recepción de sus datos. También ha declarado que las vulnerabilidades no han afectado a ninguno de sus usuarios.
Los investigadores de Check Point Research revelaron las vulnerabilidades en OkCupid que podrían haber permitido a los piratas informáticos obtener acceso a los datos del usuario. El trabajo de investigación se realizó a través de la aplicación de Android OkCupid versión 40.3.1 en Android 6.0.1. Al realizar ingeniería inversa en la aplicación móvil, los investigadores descubrieron la funcionalidad de «enlaces profundos» que podría proporcionar acceso de puerta trasera a los hackers para enviar enlaces maliciosos.
Mientras probaba la aplicación móvil, el equipo de investigadores también pudo encontrar el dominio primario OkCupid vulnerable a los ataques de scripting entre sitios (XSS). Ambas lagunas podrían combinarse para permitir que un pirata informático envíe enlaces especialmente diseñados a los usuarios y robe sus datos personales.
Los investigadores dijeron que en el momento de la prueba, vieron que el servidor respondía con toda la información sobre el perfil de la víctima, incluido el correo electrónico y el estado familiar.
«Realizar acciones en nombre de la víctima también es posible debido a la exfiltración del token de autenticación de la víctima y la identificación de los usuarios», señalaron los investigadores. célebre en un blog
Además, los investigadores de Check Point encontraron una política de intercambio de recursos de origen cruzado (CROS) mal configurada en un servidor API de OkCupid. Podría permitir a los piratas informáticos incluso filtrar los datos del usuario desde el punto final de la API del perfil y permitirles leer las conversaciones personales de la víctima.
«Ni un solo usuario se vio afectado por la vulnerabilidad potencial en OkCupid, y pudimos solucionarlo en 48 horas», respondió OkCupid a Check Point en su descubrimiento.
Las citas en línea han alcanzado nuevos niveles debido al brote de coronavirus que ha traído restricciones para conocer gente físicamente. OkCupid en sí también tiene notado hasta un 20 por ciento de aumento en las conversaciones y un 10 por ciento de aumento en los partidos a nivel mundial. Sin embargo, hay algunas referencias que muestran que las personas que se reúnen en línea no son tan seguras debido a las vulnerabilidades potenciales y las crecientes cantidades de violaciones de datos.
En 2020, ¿obtendrá WhatsApp la característica asesina que todo indio está esperando? Hablamos de esto en Orbital, nuestro podcast tecnológico semanal, al que puede suscribirse a través de Podcasts de Apple o RSS, descarga el episodio, o simplemente presiona el botón de reproducción a continuación.