OkCupid je jednou z největších bezplatných online seznamek s více než 50 miliony registrovaných uživatelů ze 110 zemí. V roce 2019 se OkCupid pyšnil 91 miliony propojení ročně prostřednictvím webu a průměrem 50 000 offline schůzek každý týden. Během koronavirové pandemie zaznamenal OkCupid dokonce 20% nárůst konverzací. Ale detailní osobní informace jsou také atraktivním cílem pro hackery a žhavým zbožím pro cílené útoky nebo prodej dalším hackerům.
Výzkumný tým kyberbezpečnostní společnosti Check Point odhalil, že zranitelnost v aplikaci a webu OkCupid by mohla hackerům poskytnout přístup k uživatelským profilům, soukromým zprávám, sexuální orientaci, osobním adresám a všem odeslaným odpovědím na profilovací otázky OkCupid. Zranitelnost by také umožnila hackerům manipulovat profilovými informacemi, posílat zprávy jménem uživatelů nebo se za uživatele vydávat.
Výzkumný tým popsal případný útok zneužívající zranitelnosti zjednodušeně ve třech krocích:
- Hacker vytvoří škodlivý odkaz, který útok spustí
- Hacker odešle odkaz vytipované oběti nebo ho zveřejní na veřejném fóru, aby nalákal ke kliknutí více uživatelů
- Jakmile uživatel klikne na odkaz, spustí se škodlivý kód, který hackerovi umožní přístup k účtu oběti
„OkCupid je jednou z nejpopulárnějších seznamek a náš výzkum upozornil na několik závažných bezpečnostních problémů celkově ve všech seznamovacích aplikacích a webových stránkách. Každý uživatel by se měl ptát, jak dobře jsou zabezpečené jeho citlivé osobní informace a jestli se někdo nemůže jednoduše dostat k soukromým fotografiím, zprávám a dalším osobním věcem. Ukázalo se, že seznamovací aplikace mohou mít k bezpečnosti daleko. Vývojáři i uživatelé seznamovacích aplikací se musí zamyslet, jak zlepšit ochranu soukromí a citlivých dat, protože pro kyberzločince se jedná o velmi lukrativní cíl,” říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.
Check Point o zranitelnostech informoval společnost OkCupid, která na serverech provedla potřebné opravy, takže uživatelé nemusí provádět žádnou akci. Po odhalení a opravení zranitelností vydal OkCupid toto prohlášení: „Check Point Research informoval vývojáře OkCupid o zranitelnostech odhalených v tomto výzkumu a zodpovědně jsme přijali odpovídající opatření, aby uživatelé mohli dále bezpečně používat aplikaci OkCupid. Žádný uživatel nebyl těmito potenciálními zranitelnostmi ovlivněn a vše jsme opravili do 48 hodin. Jsme vděční partnerům, jako je Check Point, kteří stejně jako OkCupid kladou na první místo bezpečnost a soukromí uživatelů.“
Více informací najdete v analýze výzkumného týmu Check Point Research na tomto odkazu.
