Essas falhas de segurança colocariam em risco a privacidade de 50 milhões de usuários em todo o mundo, as quais permitiriam a um cibercriminoso ter acesso ao perfil, mensagens privadas e fotografias das pessoas
Os pesquisadores da
Check Point Research (CPR), divisão de inteligência de ameaças da Check Point® Software Technologies Ltd. (NASDAQ:
CHKP), uma fornecedora global líder em soluções de cibersegurança,
identificaram e ajudaram a resolver várias vulnerabilidades críticas no site e
no aplicativo móvel OkCupid. No caso de um cibercriminoso tentar explorar essas
falhas de segurança, ele poderia ter acesso e roubar informação privada e
confidencial dos usuários desse serviço, bem como enviar mensagens a partir dos
seus perfis sem o conhecimento deles.
Lançado em 2004, o
OkCupid é um dos principais serviços online gratuitos para relacionamentos do
mundo com mais de 50 milhões de usuários registrados em 110 países. Em 2019,
este aplicativo promoveu em torno de 91 milhões de conexões entre as pessoas
resultando em mais de 50 mil encontros por semana. Durante a pandemia da
COVID-19, esse serviço alcançou um crescimento de 20% no total das conversas.
No entanto, a quantidade de informações e os detalhes pessoais que os usuários
disponibilizam no momento da criação dos seus perfis convertem aplicativos como
o OkCupid em alvos atraentes para os cibercriminosos, quer para ataques
direcionados aos seus usuários ou para obter informações que serão vendidas
posteriormente a terceiros.
Os pesquisadores da
Check Point encontraram vulnerabilidades no aplicativo e no site do OkCupid que
poderiam dar a um cibercriminoso o acesso total ao perfil de um usuário, suas
mensagens privadas, orientação sexual, endereço residencial e respostas
enviadas para o questionário de preenchimento obrigatório no momento da
abertura de um perfil nesse aplicativo móvel. Essas vulnerabilidades também
possibilitariam a manipulação dos dados da pessoa alvo e o envio de novas
mensagens a outros contatos de sua conta, de modo que o cibercriminoso se
passasse por ela para realizar atividades fraudulentas ou maliciosas.
Como esta
vulnerabilidade funciona
Os pesquisadores
detalharam o método de ataque em três etapas utilizado pelos cibercriminosos
com o qual procuraram explorar a vulnerabilidade:
• Gerar um link
maliciosos contendo um payload (uma carga) para desencadear o ataque.
• Enviar o link à
vítima ou publicá-lo num fórum aberto para que os usuários cliquem nele.
• Uma vez que o link
tenha sido acessado, o código malicioso é executado permitindo ao
cibercriminoso o acesso à conta da vítima.
"A análise que
realizamos sobre o OkCupid, uma das plataformas de relacionamento online mais
popular, se centrou na dúvida que tínhamos com relação aos níveis de segurança
deste tipo de aplicativo. Demonstramos que um cibercriminoso poderia manipular
a informação sigilosa, fotografias e mensagens das pessoas, razão pela qual
todos os desenvolvedores de aplicativos de relacionamentos e seus usuários
devem parar e refletir sobre as garantias de segurança oferecidas à sua
informação e fotografias privadas que são hospedadas e compartilhadas por meio
deste tipo de aplicativo. Felizmente, a empresa OkCupid atuou de imediato em
relação à nossa descoberta e implementou as recomendações, resolvendo as
vulnerabilidades no seu aplicativo móvel e site", relata Oded Vanunu,
chefe de pesquisa de vulnerabilidade de produtos da Check Point.
Os pesquisadores da
Check Point divulgaram com responsabilidade suas descobertas aos responsáveis
do OkCupid, os quais reconheceram as falhas de segurança em seus servidores e
solucionaram as mesmas de modo que os usuários não tivessem de realizar
qualquer tipo de ação extra. De acordo com uma declaração emitida por eles,
"a Check Point Research informou aos nossos desenvolvedores sobre as
vulnerabilidades encontradas, bem como a resolução das falhas para garantir que
os usuários continuassem utilizando o aplicativo de forma segura. Nenhum
usuário foi impactado por estas vulnerabilidades, já que fomos capazes de
corrigi-las em 48 horas. Agradecemos o apoio de parceiros como a Check Point
que nos ajudam a manter a segurança e privacidade dos usuários como uma das
nossas prioridades".
Em março
deste ano, especialistas do CyberNews, um site de notícias
sobre tecnologia, análises e avaliação de produtos dos Estados Unidos,
descobriram outro problema em que era possível rastrear usuários do OkCupid e
encontrar sua localização exata. A OkCupid corrigiu esse problema na ocasião,
logo após o CyberNews ter reportado isso aos responsáveis.
Para saber mais
detalhes sobre as vulnerabilidades identificadas pelos pesquisadores da Check
Point e assistir ao vídeo explicativo sobre como os cibercriminosos poderiam
explorá-las, acesse em https://research.checkpoint.com
Check Point Software
Technologies Ltd.
https://www.checkpoint.com/pt/
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
https://blog.checkpoint.com/
https://www.twitter.com/checkpointsw
https://www.facebook.com/checkpointsoftware
https://www.youtube.com/user/CPGlobal
https://www.linkedin.com/company/check-point-software-technologies
Nenhum comentário:
Postar um comentário