Descubren vulnerabilidades críticas en la aplicación móvil y web de citas OkCupid

13 agosto, 2020
4 Compartido 582 Visualizaciones

Este fallo de seguridad, que pone en riesgo la privacidad de 50 millones de usuarios en todo el mundo, permite a un cibercriminal tener acceso al perfil, mensajes privados y fotografías del usuario

Investigadores de Check Point Research, la división de inteligencia de amenazas de Check Point han descubierto y ayudado a solventar varias vulnerabilidades críticas en la página web y aplicación móvil de OkCupid. En el caso de que un cibercriminal explotase estos fallos de seguridad, podría tener acceso y robar información privada y sensible de los usuarios de este servicio, así como enviar mensajes desde su perfil sin que la persona sea consciente de ello. 

OkCupid, que llegó al mercado en 2004, es uno de los principales servicios online gratuitos para conocer gente a nivel mundial con más de 50 millones de usuarios en 110 países de todo el mundo. En 2019, se produjeron 91 millones de conexiones entre usuarios de la aplicación, y tuvieron lugar más de 50.000 citas a la semana. Por otra parte, durante la crisis de la COVID-19, este servicio experimentó un crecimiento de un 20% en el total de conversaciones . La cantidad de información y detalles personales que aportan los usuarios a la hora de crear sus perfiles convierten a aplicaciones como OkCupid en un objetivo potencial de los cibercriminales, ya sea mediante ataques dirigidos o para obtener información y venderla a terceros. 

Los investigadores de Check Point han encontrado vulnerabilidades en la app y página web de OkCupid que permiten a un cibercriminal tener acceso total al perfil de un usuario, mensajes privados, orientación sexual, dirección y las respuestas al cuestionario que la aplicación obliga a rellenar para abrir un perfil. Los fallos de seguridad también abren al posibilidad de manipular los datos del perfil del usuario y enviar nuevos mensajes a otros contactos dentro de la aplicación, suplantando la identidad del verdadero propietario de la cuenta para realizar actividades fraudulentas.

¿Cómo funciona esta vulnerabilidad?

Los investigadores de la compañía detallan los tres pasos del método de ataque utilizado por los cibercriminales que buscaban explotar esta vulnerabilidad:

  1. Generar un enlace con una carga maliciosa que desencadena el ataque
  2. Enviar el link a la víctima o publicarla en un foro abierto para que los usuarios hagan clic sobre él
  3. Una vez que el enlace redirige a una web, se ejecuta el código malicioso, que permite tener acceso a la cuenta de la víctima

Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point señala que “el análisis que hemos llevado a cabo en torno a OkCupid, una de las plataformas de citas online más populares, ha sembrado la duda sobre los niveles de seguridad de este tipo de aplicaciones. Hemos demostrado que un cibercriminal podría manipular la información sensible, fotografías y mensajes de los usuarios, por lo que todos los desarrolladores de aplicaciones de citas y usuarios deberían parar y reflexionar sobre las garantías de seguridad que ofrecen a su información y fotografías privadas que suben y comparten a través de este tipo de plataformas. Afortunadamente, OkCupid atendió de forma inmediata a nuestros descubrimientos y recomendaciones, por lo que solventaron las vulnerabilidades de su app y página web”.

Los investigadores de Check Point compartieron sus hallazgos con los responsables de OkCupid, quienes reconocieron los fallos de seguridad y los solventaron de tal forma que los usuarios no tuvieran que realizar ninguna acción extra. Tras esto, desde la compañía compartieron las siguientes declaraciones: “Check Point Research informó a los desarrolladores de OkCupid acerca de las vulnerabilidades que habían encontrado, así como las claves para solventar el fallo y garantizar así que los usuarios pueden seguir utilizando la aplicación de forma segura. Ningún usuario se ha visto afectado por esta vulnerabilidad, ya que fuimos capaces de repararla en 48 horas. Estamos muy agradecidos a socios como Check Point, que nos ayudan a mantener la seguridad y la privacidad de los usuarios como una de nuestras prioridades”.  

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

#CyberQuiz: Los niños y la ciberseguridad
Quiz
9 compartido1,679 visualizaciones
Quiz
9 compartido1,679 visualizaciones

#CyberQuiz: Los niños y la ciberseguridad

Aina Pou Rodríguez - 23 junio, 2020

Los niños se conectan a Internet con una gran facilidad, pero no conocen la manera de hacerlo de forma segura…

El grupo LuckyMouse regresa con un certificado legítimo para firmar malware
Actualidad
475 visualizaciones
Actualidad
475 visualizaciones

El grupo LuckyMouse regresa con un certificado legítimo para firmar malware

Vicente Ramírez - 20 septiembre, 2018

El equipo de Investigación y Análisis Global de Kaspersky Lab (GReAT) descubrió varias infecciones de un troyano desconocido que probablemente…

5 tips para mejorar la ciberseguridad de las compañías
Actualidad
25 compartido4,443 visualizaciones
Actualidad
25 compartido4,443 visualizaciones

5 tips para mejorar la ciberseguridad de las compañías

José Luis - 8 enero, 2019

La ciberseguridad es una materia en la que muchas empresas todavía andan perdidas y donde los incidentes ocasionados por brechas…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.