Ilmaisen online-treffipalvelun käyttäjien arkaluontoiset tiedot olivat vaarassa – Check Pointin tutkijat havaitsivat, että hakkeri olisi voinut saada käsiinsä käyttäjien täydelliset profiilitiedot, yksityisviestit, kuvat ja sähköpostiosoitteet.
Tietoturvayhtiö Check Point Software Technologiesin tutkijat havaitsivat äskettäin tietoturvapuutteita OkCupid-deittipalvelun sivustolla ja mobiilisovelluksessa. Hyödyntämällä haavoittuvuuksia hakkeri olisi päässyt käsiksi käyttäjien yksityisiin tietoihin ja olisi voinut esimerkiksi lähettää viestejä käyttäjien tileiltä heidän tietämättään.
Vuonna 2004 toimintansa aloittanut OkCupid on yksi eniten käytetyistä ilmaisista online-treffipalveluista maailmanlaajuisesti. Sillä on yhteensä yli 50 miljoonaa rekisteröitynyttä käyttäjää 110 maassa. Vuonna 2019 sivuston kautta järjestettiin keskimäärin 50 000 treffiä joka viikko. Koronaviruspandemian aikana OkCupidin keskustelujen määrä on lisääntynyt 20 %. Nettideittipalveluiden käyttäjien henkilökohtaiset tiedot houkuttelevat myös verkkorikollisia, jotka voivat käyttää niitä kohdistettuihin hyökkäyksiin tai myydä tiedot edelleen muille hakkereille.
Check Pointin tutkijat osoittivat, että OkCupidin sovelluksen ja verkkosivuston haavoittuvuudet voivat antaa hakkereille pääsyn käyttäjän täydellisiin profiilitietoihin, yksityisviesteihin, osoitteisiin ja kaikkiin OkCupidin profilointikysymysten vastauksiin, mukaan lukien seksuaalinen suuntautuminen. Hakkeri olisi myös voinut manipuloida kohdekäyttäjän profiilitietoja ja lähettää tililtä viestejä muille käyttäjille vilpillisiä tarkoituksiaan varten.
Näin hyökkäys olisi voinut tapahtua:
1. Hakkeri luo haitallisen linkin, joka sisältää hyökkäystä varten kehitetyn haittaohjelman.
2. Hakkeri lähettää linkin aiottuun kohteeseen tai julkaisee sen julkisella foorumilla käyttäjien klikattavaksi.
3. Kun uhri klikkaa linkkiä sen avatakseen, haittaohjelma suoritetaan, jolloin hakkeri pääsee kohteen tilille.
– Havaintomme OKCupidista herättävät vakavia kysymyksiä kaikkien treffisovellusten ja -sivustojen turvallisuudesta. Osoitimme, että hakkeri pääsee käyttämään ja manipuloimaan käyttäjien yksityisiä tietoja, viestejä ja valokuvia. Jokaisen treffisovelluksen kehittäjän ja käyttäjän tulisikin nyt pohtia varastoimiensa ja jakamiensa henkilökohtaisten tietojen ja kuvien tietoturvan tasoa. Onneksi OkCupid ryhtyi välittömästi tiedon saatuaan paikkaamaan näitä haavoittuvuuksia mobiilisovelluksessaan ja verkkosivustollaan, kommentoi Check Pointin Head of Products Vulnerability Research Oded Vanunu.
Check Pointin tutkijat toivat havaintonsa ilmi OkCupidille, joka tunnisti ja korjasi palvelimiensa tietoturvapuutteet. OkCupidin mukaan sovelluksen käyttäjät voivat jatkaa sen käyttöä turvallisesti. Potentiaalinen haavoittuvuus ei vaikuttanut yhteenkään käyttäjään, ja OKCupid korjasi sen 48 tunnin sisällä.
Lähde: Check Point