La aplicación de citas OKCupid deja expuestos millones de datos

El servicio de citas en línea OKCupid dejó expuestos detalles privados de sus más de 50 millones de usuarios en 110 países, declaró Check Point esta semana en un informe. Después de descubrir el potencial de acciones maliciosas, Check Point presentó sus hallazgos a OKCupid, que corrigió las fallas de seguridad en sus servidores dentro […]

El servicio de citas en línea OKCupid dejó expuestos detalles privados de sus más de 50 millones de usuarios en 110 países, declaró Check Point esta semana en un informe.

Después de descubrir el potencial de acciones maliciosas, Check Point presentó sus hallazgos a OKCupid, que corrigió las fallas de seguridad en sus servidores dentro de las 48 horas posteriores a la notificación. El servicio de citas dijo que ni un solo usuario se vio afectado por la potencial vulnerabilidad, lo que podría haber permitido que un actor de amenazas se hiciera pasar por un usuario.

En riesgo estaban los detalles completos del perfil, mensajes privados, orientación sexual, direcciones personales y todas las respuestas enviadas a las preguntas de perfil de OKCupid.

Según un informe de Check Point, podrían haberse producido acciones maliciosas, como la manipulación de datos de perfil de usuario y el envío de mensajes, en nombre de una víctima, sin el conocimiento de ese usuario.

Para llevar a cabo el ataque, un actor de amenazas podría haber ejecutado código malicioso en las páginas web y móviles de OkCupid generando un único enlace malicioso para enviar a los usuarios. Los investigadores de Check Point describieron el método de ataque en tres pasos:

• El actor de amenaza genera un enlace que contiene una carga útil que inicia el ataque.
• El actor de la amenaza envía el enlace a la víctima o lo publica en un foro público.
• Una vez que la víctima toca o hace clic en el enlace, se ejecuta el código malicioso, lo que resulta en la filtración de datos.

Check Point realizó una ingeniería inversa de la aplicación móvil Android OkCupid (v40.3.1 en Android 6.0.1) y descubrió que la aplicación abrió un WebView (y permite que JavaScript se ejecute en el contexto de la ventana de WebView) y cargó URL remotas.

Mientras realizaba la ingeniería inversa de la aplicación OkCupid, Check Point encontró una funcionalidad de «enlaces profundos», lo que permite invocar intentos en la aplicación a través de un enlace de navegador. 

Como resultado, un atacante podría hacerse pasar por un usuario OkCupid y llevar a cabo cualquier acción que el usuario pueda realizar, y acceder a cualquiera de los datos del usuario.

Un ataque similar se produjo hace cinco años al servicio de citas de Ashley Madison y resurgió en enero pasado cuando los usuarios de la aplicación se vieron afectados por demandas de Ransomware que indicaban que sus relaciones extramaritales se revelarían a los cónyuges y otras personas si no pagaban por el rescate de los datos.

Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point, dijo que la investigación de OKCupid plantea serias preguntas sobre la seguridad de todas las aplicaciones de citas.

Check Point indicó, además, que su trabajo en OKCupid ha provocado una mayor investigación sobre otras aplicaciones de citas.

La popularidad del servicio de citas ha aumentado desde la pandemia a mediados de marzo, particularmente por el distanciamiento social. OkCupid, de hecho, ha visto un aumento del 30% en los mensajes, un aumento del 20% en las conversaciones y un aumento del 10% en las coincidencias en todo el mundo.   

OkCupid afirmó que una vez que se solucionó el problema de seguridad, se implementó una solución de manera responsable para garantizar que sus usuarios puedan continuar utilizando la aplicación de manera segura.