0

  • Votre panier est vide.

  • LOGIN

Les failles de l’application de rencontres OkCupid auraient pu permettre aux pirates de lire vos messages privés

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs en cybersécurité ont révélé aujourd’hui plusieurs problèmes de sécurité sur la plate-forme de rencontres en ligne populaire OkCupid qui pourraient potentiellement permettre aux attaquants d’espionner à distance les informations privées des utilisateurs ou d’effectuer des actions malveillantes au nom des comptes ciblés.

Selon un rapport partagé avec The Hacker News, des chercheurs de Point de contrôle a constaté que les failles des applications Android et Web d’OkCupid pourraient permettre le vol de jetons d’authentification des utilisateurs, d’identifiants d’utilisateurs et d’autres informations sensibles telles que les adresses e-mail, les préférences, l’orientation sexuelle et d’autres données privées.

Après que les chercheurs de Check Point aient partagé de manière responsable leurs découvertes avec OkCupid, la société appartenant à Match Group a résolu les problèmes, déclarant que « pas un seul utilisateur n’était affecté par la vulnérabilité potentielle. »

La chaîne des défauts

Les failles ont été identifiées dans le cadre de l’ingénierie inverse de la version 40.3.1 de l’application Android d’OkCupid, qui a été publiée le 29 avril plus tôt cette année. Depuis, il y a eu 15 mises à jour de l’application avec la version la plus récente (43.3.2) sur Google Play Store hier.

cybersécurité

Check Point a déclaré que l’utilisation par OkCupid de liens profonds pourrait permettre à un mauvais acteur d’envoyer un lien personnalisé défini dans le fichier manifeste de l’application pour ouvrir une fenêtre de navigateur avec JavaScript activé. Une telle demande a été trouvée pour renvoyer les cookies des utilisateurs.

piratage du compte okcupid

Les chercheurs ont également découvert une faille distincte dans la fonctionnalité de paramètres d’OkCupid qui le rend vulnérable à une attaque XSS en injectant du code JavaScript malveillant à l’aide du paramètre « section » comme suit: « https://www.okcupid.com/settings?section=value »

L’attaque XSS susmentionnée peut être augmentée en chargeant une charge utile JavaScript à partir d’un serveur contrôlé par un attaquant pour voler des jetons d’authentification, des informations de profil et des préférences utilisateur, et transmettre les données accumulées au serveur.

« Les cookies des utilisateurs sont envoyés au [OkCupid] car la charge utile XSS est exécutée dans le contexte de la WebView de l’application « , ont déclaré les chercheurs, décrivant leur méthode pour capturer les informations du jeton. » Le serveur répond avec un vaste JSON contenant l’id des utilisateurs et le jeton d’authentification. « 

Une fois en possession de l’ID utilisateur et du jeton, un adversaire peut envoyer une requête au point de terminaison « https://www.OkCupid.com:443/graphql » pour récupérer toutes les informations associées au profil de la victime (adresse e-mail, orientation, taille, statut familial et autres préférences personnelles) et effectuer des actions au nom de l’individu compromis, comme envoyer des messages et modifier les données de profil.

Cependant, un piratage complet du compte n’est pas possible car les cookies sont protégés avec HTTPOnly, atténuant le risque qu’un script côté client accède au cookie protégé.

Enfin, un oubli dans le partage de ressources Cross-Origin (CORS) la politique du serveur API aurait pu permettre à un attaquant de créer des requêtes de n’importe quelle origine (par exemple « https://okcupidmeethehacker.com ») afin de récupérer l’ID utilisateur et le jeton d’authentification, puis d’utiliser ces informations pour extraire les détails du profil et les messages en utilisant les points de terminaison «profile» et «messages» de l’API.

Rappelez-vous Ashley Madison Breach et menaces de chantage?

Bien que les vulnérabilités n’aient pas été exploitées à l’état sauvage, l’épisode est encore un autre rappel de la façon dont les mauvais acteurs auraient pu profiter des failles pour menacer les victimes de noir et d’extorsion.

piratage du compte okcupid

Après Ashley Madison, un service de rencontres pour adultes destiné aux personnes mariées à la recherche de partenaires pour des affaires a été piraté en 2015 et des informations sur ses 32 millions d’utilisateurs ont été publiées sur le dark web, cela a entraîné une augmentation du phishing et campagnes de sextorsion, les maîtres-chanteurs auraient envoyé des e-mails personnalisés aux utilisateurs, menaçant de révéler leur adhésion à leurs amis et à leur famille à moins qu’ils ne paient de l’argent.

« Le besoin criant de confidentialité et de sécurité des données devient bien plus crucial lorsque tant d’informations privées et intimes sont stockées, gérées et analysées dans une application », ont conclu les chercheurs. « L’application et la plate-forme ont été créées pour rassembler les gens, mais bien sûr, là où les gens vont, les criminels suivront, à la recherche de choix faciles. »

Voir aussi :

septembre 14, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)