Actu
Danger sur le site de rencontres OKCupid : usurpation de données mise en avant par Check Point
juillet 2020 par Check Point
Avec plus de 50 millions d’utilisateurs enregistrés depuis son lancement, et dont la majorité a entre 25 et 34 ans, OkCupid est l’une des plateformes de rencontres les plus populaires au monde. En 2004, quatre amis de Harvard ont créé le premier site de rencontres en ligne gratuit. Il se targue de plus de 91 millions de connexions par ans, et 50 000 rencontres par semaine. En 2012, il est devenu le premier grand site de rencontres à créer une application mobile.
Les applications de rencontres permettent de se connecter avec les autres utilisateurs de manière agréable, accessible et immédiate. En analysant les préférences personnelles dans n’importe quel domaine à l’aide d’un algorithme sophistiqué, l’application amène les utilisateurs vers des personnes partageant les mêmes idées, et ils peuvent immédiatement commencer à communiquer par messagerie instantanée.
Pour créer toutes ces connexions, OkCupid établit des profils personnels de tous ses utilisateurs, afin de pouvoir établir la ou les meilleures correspondances en fonction des précieuses informations personnelles de chaque utilisateur.
Bien entendu, ces profils personnels détaillés n’intéressent pas seulement les amoureux potentiels. Elles sont également très prisées par les pirates, car elles constituent la « référence » en matière d’informations, soit pour les utiliser dans des attaques ciblées, soit pour les vendre à d’autres groupes de pirates, car elles permettent aux tentatives d’attaque d’être très convaincantes pour des cibles peu méfiantes.
Comme nos chercheurs ont découvert des vulnérabilités dans d’autres plateformes et applications de réseaux sociaux populaires, nous avons décidé d’examiner l’application OkCupid afin de voir si nous pouvions trouver quelque chose correspondant à nos intérêts. Et nous avons trouvé plusieurs choses qui nous ont amenés à pousser la relation plus en avant (purement professionnellement, bien sûr). Les vulnérabilités que nous avons trouvées dans OkCupid et que nous décrivons dans cette étude auraient pu permettre à des pirates de :
• Exposer les données sensibles des utilisateurs stockées sur l’application.
• Effectuer des actions au nom de la victime.
• Voler le profil et les données privées des utilisateurs, leurs préférences et leurs caractéristiques.
• Voler le jeton d’authentification des utilisateurs, leurs identifiants et d’autres informations sensibles telles que les adresses email.
• Envoyer les données recueillies au serveur des pirates.
Check Point Research a informé les développeurs de OkCupid des vulnérabilités exposées dans cette étude et une solution a été déployée de manière responsable pour garantir que ses utilisateurs puissent continuer d’utiliser l’application OkCupid en toute sécurité.
Un pirate peut envoyer un lien personnalisé contenant les schémas mentionnés ci-dessus. Comme le lien personnalisé contiendra le paramètre « section, » l’application mobile ouvrira une fenêtre WebView (navigateur) : l’application mobile OkCupid. Toute requête sera envoyée avec les cookies des utilisateurs.
