Los investigadores de seguridad han identificado múltiples vulnerabilidades en la web y las plataformas móviles del sitio de citas en línea OkCupid que permiten a los piratas informáticos robar información privada de los usuarios de los usuarios. Los datos pueden incluir detalles completos del perfil, mensajes privados, orientación sexual, direcciones personales e incluso todas las respuestas enviadas a las preguntas de perfil de OkCupid. Se dice que el equipo de OkCupid corrigió las fallas dentro de las 48 horas posteriores a la recepción de sus datos. También ha declarado que las vulnerabilidades no han afectado a ninguno de los usuarios.

Investigadores en Check Point Research reveló las vulnerabilidades en OkCupid permitiendo a los hackers acceder a los datos del usuario. El trabajo de investigación se realizó a través de la aplicación OkCupid para Android versión 40.3.1 en Android 6.0.1. Al realizar ingeniería inversa en la aplicación móvil, los investigadores descubrieron la funcionalidad de «enlaces profundos» que podría proporcionar a los hackers acceso de puerta trasera para enviar enlaces maliciosos.

Mientras probaba la aplicación móvil, el equipo de investigadores también pudo encontrar el dominio primario OkCupid vulnerable a los ataques de scripting entre sitios (XSS). Ambos bucles se pueden combinar para permitir que un hacker envíe enlaces especialmente diseñados a los usuarios y robe su información personal.

Los investigadores dijeron que al momento de la prueba vieron que el servidor respondió con toda la información sobre el perfil de la víctima, incluido el correo electrónico y el estado familiar.

«Realizar acciones en nombre de la víctima también es posible debido a la exfiltración del token de autenticación de la víctima y la identificación del usuario», dijeron los investigadores. célebre en un blog

Además, los investigadores de Check Point descubrieron una política de intercambio de recursos de origen cruzado (CROS) mal configurada en un servidor API OkCupid. Podría permitir a los piratas informáticos incluso filtrar los datos del usuario desde el punto final de la API del perfil y permitirles leer las conversaciones personales de la víctima.

«Ningún usuario se vio afectado por la vulnerabilidad potencial en OkCupid y pudimos solucionarlo en 48 horas», dijo OkCupid en Check Point tras su descubrimiento.

Las citas en línea han alcanzado nuevos niveles gracias a la coronavirus brote que impuso restricciones para conocer gente físicamente. OkCupid en sí también tiene notado tanto como 20 por ciento más de llamadas y 10 por ciento más de partidos en todo el mundo. Sin embargo, hay algunas referencias que muestran que las personas que se encuentran en línea no son tan seguras debido a las vulnerabilidades potenciales y las crecientes cantidades de violaciones de datos.


¿Recibirá WhatsApp la gran característica que todo indio espera en 2020? Discutimos esto Orbital, nuestro podcast tecnológico semanal al que puede suscribirse Podcasts de Apple o RSS, descarga el episodio, o simplemente presione el botón de reproducción a continuación.



Source link