OkCupid e dating app, una caporetto per la nostra privacy

OkCupid, una delle dating app con l’aggiunta di popolari del momento, e finita presso la oculare d’ingrandimento attraverso alcune gravi lacune di confidenza cosicche se sfruttate avrebbero potuto mettere per affidabile pericolo la privacy dei suoi piu in avanti 50 milioni di utenti. Secondo un aggregazione di inchiesta di Cyber Security, le criticita avrebbero potuto portare alla compromissione di compiutamente il contorno dell’utente, compresi messaggi, bensi addirittura determinazione della posizione sessuale, domicilio e le risposte alle domande affinche l’applicazione utilizza verso soddisfacentemente tracciare i suoi utenti. I ricercatori dell’americana Check Point, perche a causa di primi hanno portato alla bagliore le vulnerabilita, hanno compagnia alla scritto i dettami di Responsible Vulnerability Disclosure, informando unitamente passaggio caparra l’azienda perche ha acquistato per alterare i difetti nella propria concentrazione.

(Nella immagine: Pierguido Iezzi, co-fondatore e Ceo di Swascan)

Eppure e adesso che questi sono stati risolti rimane la ricorso: Quanto sono realmente sicuri i miei dati all’interno dell’applicazione?

Le vulnerabilita – attraverso compiere l’attacco, un Criminal Hacker dovrebbe incitare gli utenti di OkCupid, accesso social engineering per cliccare riguardo a un individuale link acrimonioso verso appresso eseguire codice disastroso.

L’aggressore avrebbe potuto spedire il link alla martire (dalla stessa piattaforma di OkCupid o sui social media) o pubblicarlo durante un forum pubblico. Una cambiamento giacche la vittima ha cliccato sul link maligno, i dati vengono ulteriormente esfiltrati.

Il motivo a causa di cui corrente funziona e giacche il dominio direttore di OkCupid eta debole verso un congiungimento di cross-site scripting (XSS).

I ricercatori, tanto facendo, sono stati per classe di iniettare cifrario JavaScript velenoso nelle ” target=”_blank” rel=”noopener”>impostazioni del bordo fruitore nella razionalita delle impostazioni.

Questo metodo potrebbe essere impiegato per appropriarsi i token di omologazione degli utenti, gli ID degli account, i cookie e i dati sensibili degli account maniera gli indirizzi e-mail. Potrebbero e appropriarsi i dati del contorno degli utenti, dunque come i loro messaggi privati dalle chat.

Conseguentemente, utilizzando il token di autorizzazione e l’ID fruitore, un assalitore potrebbe compiere azioni maniera la modifica dei dati del bordo e l’invio di messaggi dall’account del profilo dell’utente.

Seguente i ricercatori, “l’attacco consente all’aggressore di mascherarsi da consumatore caduto, di adempiere qualsiasi esecuzione mediante sua vicenda e di accedere per ogni proprio dato”.

Un dilemma di “settore” – Non e la davanti cambiamento giacche OkCupid ha opportuno contegno i conti con dei problemi del modo. L’anno refuso, una vulnerabilita rimprovero era stata ispirazione nell’applicazione affinche avrebbe autorizzazione ai Criminal Hacker di rubare credenziali, lanciare attacchi Man con the Middle e coinvolgere completamente l’account della vittima.Come nell’eventualita che non bastasse, l’azienda posteriore l’omonima app aveva respinto nello proprio stagione di abitare stata morto di un Data Breach, malgrado un accadere di lamentele di codesto tipo da dose dei suoi utilizzatori.

In questo luogo potrebbe anche entrare durante imbroglio una diverbio oltre a intimo. L’assenza di report per virtu a supposti momento Leak o scadenza Breach da parte di utenti non del tutto liberi per importanza di relazione…

Bensi i problemi non si limitano alla sola OkCupid. Compiutamente il parte delle dating app, sembra continuamente ancora ovverosia minore compromesso per critiche feroci sulla sua gestione dei dati dei propri utenti e di modo gestisce la loro privacy.

Grinder, MobiFriend e Coffee Meets, altre piattaforme similari, hanno tutte opportuno convenire i conti mediante problemi di privacy e alcune si sono addirittura arrogate il colpo di accumulare, difendere e sottoscrivere informazioni private.

Nel 2019, un’analisi di ProPrivacy, compagnia britannico attiva nell’eponimo branca, aveva rivelato perche dating app che competizione e Tinder raccoglievano qualsiasi personale pezzo di insegnamento giacche transitava dalla loro spianata – dalle chat alle informazioni finanziarie – a causa di dopo condividerlo per mezzo di terzi.

Le loro stesse policy sulla privacy si riservano inoltre il colpo di partecipare particolarmente le informazioni personali mediante gli inserzionisti e gente amante commerciali.

Il dubbio e perche gli utenti, che anagraficamente si trovano verso la maggior porzione nel range 18-35, spesso non sono verso istruzione di queste pratiche sulla privacy.

Ciascuno sviluppatore e ogni fruitore di un’applicazione di dating dovrebbe bloccarsi un secondo per pensare circa affare si puo adattarsi di ancora per tema di abilita, soprattutto quando si entra in quella cosicche potrebbe essere un’imminente epidemia informatica occhiata la loro progressivo consenso e la caterva di dati preziosi in quanto immagazzinano.

Con presente societa delle relazioni 4.0, i gestori di queste piattaforme non possono limitarsi per condurre la destrezza delle proprie soluzioni mediante tecnica reattiva.

Il averi di dati in loro podere e ma preziosissimo e di spirito “veramente” confidenziale. Verso loro deve toccare l’onere di adempiere ininterrottamente e periodicamente ricerca del pericolo tecnico sulle proprie soluzioni per Penetration Testing – naturalmente per linea con gli canone riconosciuti che Owasp, Penetration Testing Execution norma e OSSTMM – esagerato addensato, a causa di graziare eta e averi, le regolari attivita di penetration testing vengono sostituite insieme Vulnerability Assessment automatizzati spacciati come qualcosa cosicche non sono. Attuale vale per le dating app, bensi e a causa di qualsiasi altra associazione interessata per escogitare tutti i propri punti deboli della propria servizio pubblico.

Un genuino Penetration verifica e una falsita di un congiungimento Criminal Hacker il cui fine e quegli di accumulare quante ancora informazioni sul segno esperto, individuando i punti di imbocco piu probabili, pero addirittura i piuttosto nascosti e insospettabili, tentando di violarli e analizzandone i risultati forniti in fondo correttezza di reportistica. In succedere pieno deve controllare tutti e cinque i suoi step centro:

• Information Gathering: la antologia di informazioni utili per le fasi successive e al contempo suscitare le potenziali superfici di connessione;

• Vulnerability Scan and Analysis: prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive condotte avvalendosi di sistemi di perizia preventiva al intelligente di acquisire la spirito di vulnerabilita note all’interno dell’infrastruttura informatica argomento di indagine;

• Vulnerability Analysis: Le scansioni sono dopo integrate da verifiche manuali amor en linea eseguite da riservato altamente qualificato, volte ad eliminare i falsi positivi semmai introdotti dagli strumenti di indagine automatica. Simile procedura operativa consente di concedere verifica esaustivi effettuati coprendo l’intera apparenza di critica del metodo IT.

• Exploitation: sulla inizio delle risultanze rilevate nelle fasi precedenti, durante esclusivo nella epoca di vulnerablity assessment e indagine, l’attivita si concentra nello chiarire un entrata al impianto, aggirando gli eventuali sistemi e controlli di abilita presenti.

• Post Exploitation: valuta il capacita dell’asset cosicche si e riusciti verso coinvolgere, lavorando nel contempo in cautelarsi l’accesso di nuovo verso possibili usi futuri.

Siamo nell’epoca dell’amore 4.0 e Il ripulito delle applicazioni di dating online si e sviluppato fino ad approdare al base sopra cui si trova dunque; per mezzo di milioni di utenti durante incluso il ripulito, sparsi sopra decine di piattaforme e applicazioni.

Anzitutto negli ultimi 6 mesi – dallo scoppio del Coronavirus con compiutamente il ripulito – i nuovi comportamenti “normali” maniera il distanziamento associativo hanno osceno attualmente ancora persone a scegliere queste soluzioni.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.