I ricercatori di Check Point Software Technologies hanno rilevato seri problemi di sicurezza nelle app di incontri dopo aver dimostrato che gli aggressori avrebbero potuto avere accesso ai dati sensibili e privati su OKCupid, app gratuita di incontri online con oltre 50 milioni di utenti registrati e utilizzata in 110 Paesi.
Attraverso le vulnerabilità rilevate nelle piattaforme web e mobile di OKCupid, Check Point ha dimostrato che un hacker avrebbe potuto rubare i dati privati di un utente di OKCupid. I dettagli completi del profilo, i messaggi privati, l’orientamento sessuale, gli indirizzi personali e tutte le risposte fornite alle domande di profilazione di OKCupid erano infatti accessibili a un potenziale aggressore.
Inoltre, i ricercatori hanno dimostrato che quest’ultimo avrebbe potuto compiere azioni dannose, come manipolare i dati del profilo dell’utente e inviare messaggi, per conto di una vittima, senza che l’utente ne fosse a conoscenza.
OKCupid, come tutte le altre app di incontri, nell’ultimo periodo ha riscontrato un boom non indifferente, con l’aumento di download, complici le misure di distanziamento sociale e il lockdown.
Bastava un solo link dannoso
Per effettuare l’attacco, un hacker avrebbe potuto eseguire il codice dannoso nelle pagine web e mobile di OkCupid generando un unico link malevolo da inviare agli utenti.
Un semplice link creato ad hoc, anche inviato privatamente e puntando sul romanticismo, se aperto dalla vittima, consentiva la trasmissione dei dati sensibili all’hacker.
Check Point ha delineato il metodo di attacco in tre fasi:
- Generazione di un link contenente un workload per avviare l’attacco
- Invio del link alla vittima o pubblicazione in un forum pubblico
- Dopo il clic sul link, il codice dannoso viene eseguito, con conseguente perdita dei dati
In ultima analisi, l’attacco consentiva a un aggressore di mascherarsi da vittima, per compiere qualsiasi azione che l’utente è in grado di fare e di accedere a qualsiasi dato.
“La nostra ricerca su OKCupid, una delle app più recenti e più popolari del settore, ci ha portato a sollevare alcune serie questioni sulla sicurezza delle app di incontri. Le domande fondamentali sono: ‘Quanto sono sicure le mie informazioni intime nelle app? Con quanta facilità qualcuno che non conosco può accedere alle mie foto, ai messaggi e ai dettagli più privati?’” ha dichiarato Oded Vanunu, Head of Products Vulnerability Research in Check Point. “Abbiamo imparato che le app di incontri possono essere tutt’altro che sicure. Ogni creatore e utente di un’app di questo tipo dovrebbe riflettere prima su cosa si può fare di più in materia di sicurezza. Le applicazioni con informazioni personali sensibili, come queste, si sono rivelate un bersaglio per gli hacker, da qui l’importanza vitale di renderle sicure.”
Comunicazione responsabile
I ricercatori hanno divulgato responsabilmente le loro scoperte a OKCupid, che ha riconosciuto e corretto le falle di sicurezza nei loro server.
OKCupid ha rilasciato la seguente dichiarazione: “Check Point Research ha informato gli sviluppatori di OkCupid sulle vulnerabilità esposte in questa ricerca e una soluzione è stata implementata in modo responsabile per garantire che gli utenti possano continuare a utilizzare l’app OkCupid in modo sicuro. Nessun utente è stato influenzato dalla potenziale vulnerabilità di OkCupid e siamo stati in grado di risolverla in 48 ore. Siamo grati a partner come Check Point che, con OkCupid, ha messo al primo posto la sicurezza e la privacy dei nostri utenti.”