Populárna online zoznamka OkCupid bola plná zraniteľností, hackeri mohli kradnúť dáta a vydávať sa za užívateľov
Výskumný tím kyberbezpečnostnej spoločnosti Check Point upozornil, že hackeri mohli získať prístup k citlivým užívateľským dátam – profilu, súkromným správam, obrázkom a e-mailovým adresám – na populárnej online zoznamke OkCupid
PRAHA – 29. Júla 2020 — Check Point Research, výskumný tím spoločnostiCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), predného svetového poskytovateľa kyberbezpečnostných riešení, odhalil niekoľko zraniteľností v mobilnej aplikácii a webu jednej z najpopulárnejších online zoznamiek OkCupid. V prípade zneužitia by hackeri mali prístup k citlivým dátam užívateľov OkCupid a mohli by manipulovať profily, kradnúť informácie alebo odosielať správy menom užívateľov. Cenné dáta by kyberzločinci mohli predávať na hackerských fórach alebo ich využiť k ďalším útokom.
OkCupid je jednou z najväčších bezplatných online zoznamiek s viac než 50 miliónmi registrovaných užívateľov zo 110 zemí. V roku 2019 sa OkCupid pyšnel 91 miliónmi pripojení ročne prostredníctvom webu a priemerom 50 000 offline schôdzok každý týždeň. Behom pandémie zaznamenal OkCupid dokonca 20% nárast konverzácii. Ale detailné osobné informácie sú taktiež atraktívnym cieľom pre hackerov a horúcim tovarom pre cielené útoky alebo predaj ďalším hackerom.
Výskumný tím kyberbezpečnostnej spoločnosti Check Point odhalil, že zraniteľnosti v aplikácii a webu OkCupid by mohli hackerom poskytnúť prístup k užívateľským profilom, súkromným správam, sexuálnej orientácii, osobným adresám a všetkým odoslaným odpovediam na profilovacie otázky OkCupid. Zraniteľnosti by taktiež umožnili hackerom manipulovať profilovými informáciami, posielať správy menom užívateľov alebo sa za užívateľa vydávať.
Výskumný tím popísal prípadný útok zneužívajúci zraniteľnosti zjednodušene v troch krokoch:
- Hacker vytvorí škodlivý odkaz, ktorý útok spustí
- Hacker odošle odkaz vytipovanej obeti alebo ho zverejní na verejnom fóre, aby nalákal ku kliknutiu viac užívateľov
- Akonáhle užívateľ klikne na odkaz, spustí sa škodlivý kód, ktorý hackerovi umožní prístup k účtu obete
„OkCupid je jednou z najpopulárnejších zoznamiek a náš výskum upozornil na niekoľko závažných bezpečnostných problémov celkovo vo všetkých zoznamovacích aplikáciách a webových stránkach. Každý užívateľ by sa mal opýtať, ako dobre sú zabezpečené jeho citlivé osobné informácie a či sa niekto nemôže jednoducho dostať k súkromným fotografiám, správam a ďalším osobným informáciám. Ukázalo sa, že zoznamovacie aplikácie môžu mať k bezpečnosti ďaleko. Vývojári aj užívatelia zoznamovacích aplikácii sa musia zamyslieť, ako zlepšiť ochranu súkromia a citlivých dát, pretože pre kyberzločincov sa jedná o veľmi lukratívny cieľ,” hovorí Tomáš Vobruba, Security Engineer v spoločnosti Check Point.
Check Point o zraniteľnostiach informoval spoločnosť OkCupid, ktorá na serveroch previedla potrebné opravy, takže užívatelia nemusia prevádzať žiadnu akciu. Po odhalení a opravení zraniteľností vydal OkCupid toto prehlásenie: „Check Point Research informoval vývojárov OkCupid o zraniteľnostiach odhalených v tomto výskume a zodpovedne sme prijali odpovedajúce opatrenia, aby užívatelia mohli ďalej bezpečne používať aplikáciu OkCupid. Žiadny užívateľ nebol týmito potenciálnymi zraniteľnosťami ovplyvnený a všetky sme opravili do 48 hodín. Sme vďační partnerom, ako je Check Point, ktorí rovnako ako OkCupid kladú na prvé miesto bezpečnosť a súkromie užívateľov.“
Viac informácii nájdete v analýze výskumného tímu Check Point Research:
Sledujte novinky o bezpečnostnom tíme Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o spoločnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výskumnom tíme Check Point Research
Check Point Research poskytuje zákazníkom spoločnosti Check Point Software a širšej bezpečnostnej komunite detailné informácie o kyberhrozbách. Výskumný tím zhromažďuje a analyzuje dáta o globálnych kyberútokoch zo siete ThreatCloud, chráni tak pred hackermi a zaisťuje, že všetky produkty Check Point sú aktualizované a majú najnovšiu ochranu. Výskumný tím sa skladá z viac než 100 analytikov a výskumných pracovníkov, ktorí spolupracujú taktiež s ďalšími bezpečnostnými spoločnosťami, donucovacími orgánmi a organizáciami CERT.
O spoločnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je prední poskytovateľ kyberbezpečnostných riešení pre vlády a organizácie po celom svete. Chráni zákazníkov pred kyberútokmi 5. generácie prostredníctvom unikátnych riešení, ktoré ponúkajú bezkonkurenčnú úspešnosť zachytenia malwaru, ransomwaru a iných pokročilých cielených hrozieb. Check Point ponúka viacúrovňovú bezpečnostnú architektúru, Infinity Total Protection s pokročilou prevenciou hrozieb 5. generácie, a táto kombinovaná produktová architektúra chráni podnikové siete, cloudové prostredia a mobilné zariadenia. Check Point navyše poskytuje najkomplexnejšie a najintuitívnejšie nástroje pre správu zabezpečenia. Check Point chráni viac než 100 000 organizácii všetkých veľkostí.