Messages Okcupid Piratés

Les chercheurs en cybersécurité ont révélé aujourd’hui plusieurs problèmes de sécurité sur la plate-forme de rencontre en ligne populaire OkCupid qui pourraient potentiellement permettre aux attaquants d’espionner à distance les informations privées des utilisateurs ou d’effectuer des actions malveillantes au nom des comptes ciblés.

Selon un rapport partagé avec The Hacker News, des chercheurs de Point de contrôle a constaté que les failles des applications Android et Web d’OkCupid pourraient permettre le vol de jetons d’authentification des utilisateurs, d’identifiants d’utilisateurs et d’autres informations sensibles telles que les adresses e-mail, les préférences, l’orientation sexuelle et d’autres données privées.

Après que les chercheurs de Check Point aient partagé de manière responsable leurs découvertes avec OkCupid, la société appartenant à Match Group a résolu les problèmes, déclarant que « pas un seul utilisateur n’a été affecté par la vulnérabilité potentielle. »

La chaîne des défauts

Les failles ont été identifiées dans le cadre de l’ingénierie inverse de la version 40.3.1 de l’application Android d’OkCupid, qui a été publiée le 29 avril plus tôt cette année. Depuis, il y a eu 15 mises à jour de l’application avec la version la plus récente (43.3.2) sur Google Play Store hier.

Publicité

Check Point a déclaré que l’utilisation par OkCupid de liens profonds pourrait permettre à un mauvais acteur d’envoyer un lien personnalisé défini dans le fichier manifeste de l’application pour ouvrir une fenêtre de navigateur avec JavaScript activé. Une telle demande a été trouvée pour renvoyer les cookies des utilisateurs.

Piratage Du Compte Okcupid

Les chercheurs ont également découvert une faille distincte dans la fonctionnalité de paramètres d’OkCupid qui le rend vulnérable à une attaque XSS en injectant du code JavaScript malveillant à l’aide du paramètre « section » comme suit: « https://www.okcupid.com/settings?section=value »

L’attaque XSS susmentionnée peut être augmentée en chargeant une charge utile JavaScript à partir d’un serveur contrôlé par un attaquant pour voler des jetons d’authentification, des informations de profil et des préférences utilisateur, et transmettre les données accumulées au serveur.

« Les cookies des utilisateurs sont envoyés au [OkCupid] car la charge utile XSS est exécutée dans le contexte de la WebView de l’application », ont déclaré les chercheurs, décrivant leur méthode pour capturer les informations du jeton.« Le serveur répond avec un vaste JSON contenant l’id de l’utilisateur et le jeton d’authentification.

Une fois en possession de l’ID utilisateur et du token, un adversaire peut envoyer une requête au point de terminaison « https://www.OkCupid.com:443/graphql » pour récupérer toutes les informations associées au profil de la victime (adresse e-mail, sexuelle orientation, taille, statut familial et autres préférences personnelles) et effectuer des actions au nom de l’individu compromis, comme envoyer des messages et modifier les données de profil.

YouTube video

Cependant, un piratage complet du compte n’est pas possible car les cookies sont protégés avec HTTPOnly, atténuant le risque qu’un script côté client accède au cookie protégé.

Enfin, un oubli dans le partage de ressources Cross-Origin (CORS) La politique du serveur API aurait pu permettre à un attaquant de créer des requêtes de n’importe quelle origine (par exemple « https://okcupidmeethehacker.com ») afin de récupérer l’ID utilisateur et le jeton d’authentification, puis d’utiliser ces informations pour extraire les détails du profil et les messages en utilisant les points de terminaison «profile» et «messages» de l’API.

Rappelez-vous Ashley Madison Breach et menaces de chantage?

Bien que les vulnérabilités n’aient pas été exploitées dans la nature, l’épisode est un autre rappel de la façon dont les mauvais acteurs auraient pu profiter des failles pour menacer les victimes de noir et d’extorsion.

Piratage Du Compte Okcupid

Après Ashley Madison, un service de rencontres pour adultes destiné aux personnes mariées à la recherche de partenaires pour des affaires a été piraté en 2015 et des informations sur ses 32 millions d’utilisateurs ont été publiées sur le dark web, cela a conduit à une augmentation du phishing et campagnes de sextorsion, avec des maîtres-chanteurs qui auraient envoyé des e-mails personnalisés aux utilisateurs, menaçant de révéler leur adhésion à leurs amis et à leur famille à moins qu’ils ne paient de l’argent.

«Le besoin urgent de confidentialité et de sécurité des données devient bien plus crucial lorsque tant d’informations privées et intimes sont stockées, gérées et analysées dans une application», ont conclu les chercheurs. « L’application et la plate-forme ont été créées pour rassembler les gens, mais bien sûr, là où les gens vont, les criminels suivront, à la recherche de choix faciles. »


Rate this post
Publicité
Article précédent#BCxTXT Fans de K-Pop unis pour le nouveau thème d’ouverture de l’anime Black Clover TV aujourd’hui News Talk
Article suivantL’action de Google est-elle la prochaine?
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici