חוקרי הגנת הסייבר של חברת צ'ק פוינט הישראלית איתרו פרצת אבטחה חמורה באפליקציית ההיכרויות OkCupid. החולשה שאותרה על ידי, אלון בוקסינר וערן וקנין, אפשרה לתוקפים לשנות את העדפה המינית, לערוך את פרטי הפרופיל, ולשלוח הודעות פרטיות למשתמשים אחרים.
לצד זה, בצ'ק פוינט מציינים כי תוקפים פוטנציאלים אף יכלו לדלות מידע רגיש מפרופילי הקורבנות, וכן לצפות בהודעות פרטיות ובתשובות לשאלוני האופי שמילאו המשתמשים בעת ההרשמה. את התקיפה היה ניתן לבצע באמצעות שליחת לינק זדוני בתוך האפליקציה או בכל דרך אחרת, כאשר הקלקה עליו מאפשרת לתוקף להשתלט על החשבון של המשתמש ולעשות בו כרצונו.
ב-OkCupid טוענים כי האפליקציה אחראית ליותר מ-91 מיליון מפגשים בשנה ומככבת בעשר אפליקציות ההיכרות המובילות בעולם כדרך קבע. האפליקציה מוכרת היטב בכלל האוכלוסיה, אולם בעיקר בקרב צעירים בגילאי 24-35 שהם קהל היעד העיקרי שלה. בתקופת הקורונה החברה דיווחה על 20% עלייה בשימושים באפליקצייה.
בחברת האבטחה מציינים כי הודיע ל-OkCupid על הממצאים וזו תיקנה את החולשות האמורות בשרתים שלה, כך שהמשתמשים אינם נדרשים לבצע פעולה כלשהי. החברה פעלה בשיתוף פעולה עם חוקרי צ'ק פוינט, שם מסרו כי "צ'ק פוינט עדכנה אותנו על החולשות ופתרון הוטמע במערכות שלנו בתוך 48 שעות, כך שהמשתמשים יכולים להשתמש באפליקציה ללא חשש. אף משתמש לא הושפע מחולשות אלו".
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, מסר כי "אפליקציות היכרויות מכילות מידע אישי רב וחשוב ולכן רמת האבטחה שלהן הינה קריטית למשתמשים. הוכחנו שגם באחת האפליקציות הפופולריות בעולם נמצאו חולשות חמורות. לשמחתנו, okCupid הגיבו בצורה מהירה ואחראית נוכח הממצאים שלנו. החומרים שנמצאים על הפלטרפומות הללו הינם רגישים, ולכן יש לקוות שרמת האבטחה של אפליקציות היכרויות מעין אלו הינה מספקת".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו