הדייט נפרץ: התגלו חולשות אבטחה משמעותיות ב-OkCupid
על פי חוקרי צ'ק פוינט, שחשפו את הפגיעויות, הן אפשרו לתוקפים לדלות מידע רגיש, הודעות פרטיות ותשובות שאלוני אופי ● התוקפים יכלו לבצע מגוון פעולות בחשבונות המשתמשים, לשנות פרטי פרופיל ולשלוח הודעות פרטיות
נחשפו חולשות משמעותיות באפליקציית ההיכרויות הפופולרית OkCupid. אלון בוקסינר וערן וקנין, חוקרי צ'ק פוינט (Check Point) הם שחשפו אותן.
החולשות שנמצאו מאפשרות לתוקפים לדלות מידע רגיש מפרופילי הקורבנות, לצפות בהודעות פרטיות ובתשובות לשאלוני האופי שמילאו המשתמשים בעת ההרשמה לאפליקציה. בנוסף, יכלו התוקפים לבצע מגוון פעולות בחשבונות של המשתמשים, כגון: שינוי פרטי פרופיל, שינוי העדפה מינית, שליחת הודעות פרטיות ועוד. צ'ק פוינט העלתה לערוצה ביוטיוב (YouTube) סרטון המציג את ניצול החולשות על ידי החוקרים.
OkCupid נוסדה בשנת 2004 ומאז הקמתה ועד היום נחשבת לאחת מאפליקציות ההיכרויות הפופולריות ביותר בעולם, עם יותר מ-50 מיליון משתמשים ב-110 מדינות, כולל בישראל. היא היתה אפליקציית ההיכרויות הראשונה במכשירי המובייל. החברה טוענת כי האפליקציה אחראית ליותר מ-91 מיליון מפגשים בשנה, ומככבת בעשר אפליקציות ההיכרות המובילות בעולם. קהל היעד העיקרי שלה הם צעירים בגילאי 24-35. בתקופת הקורונה החברה דיווחה על עלייה של 20% בשימוש באפליקציה.
חולשות האבטחה שאותרו אפשרו לתוקף לשלוח הודעה עם לינק זדוני – בין אם מתוך האפליקציה, או בכל דרך אחרת, כגון הודעת טקסט, פורום וכדומה – כאשר הקלקה עליו הכניסה את התוקף לחשבון האישי של הקורבן. בתוך החשבון יכול היה התוקף לראות ולגנוב את המידע הרגיש השמור בפרופיל, הכולל הודעות פרטיות ותכתובות מלאות, פרטים מזהים, העדפות מיניות, סרטים ותמונות. כמו כן, עם הכניסה לחשבון האישי, התוקף יכול היה לבצע מניפולציות בתוכן הקיים בחשבון הקורבן, לרבות שינוי פרטי חשבון, שינוי העדפות ושליחת הודעות פרטיות מטעם הקורבן.
"המשתמשים יכולים להשתמש באפליקציה בלא חשש"
צ'ק פוינט
צ'ק פוינט הודיעה ל-OkCupid על ממצאיה וזו תיקנה את החולשות האמורות בשרתים שלה, כך שהמשתמשים אינם נדרשים לבצע פעולה כלשהי. החברה מסרה כי "צ'ק פוינט עדכנה אותנו על החולשות ופתרון הוטמע במערכות שלנו בתוך 48 שעות, כך שהמשתמשים יכולים להשתמש באפליקציה בלא חשש. אף משתמש לא הושפע מחולשות אלו. אנו מודים לצ'ק פוינט שסייעו לנו להציב את פרטיותם ובטיחותם של המשתמשים מעל הכל".
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, אמר כי "אפליקציות היכרויות מכילות מידע אישי רב וחשוב, ולכן רמת האבטחה שלהן הינה קריטית למשתמשים. הוכחנו שגם באחת האפליקציות הפופולריות בעולם נמצאו חולשות חמורות. החומרים שנמצאים על הפלטפורמות הללו הינם רגישים, ולכן יש לקוות שרמת האבטחה של אפליקציות היכרויות מעין אלו הינה מספקת".
תגובות
(0)