פרצת אבטחה חמורה באפליקציית ההיכרויות OkCupid
הפרצה אפשרה להאקרים לגנוב מידע רגיש מפרופילים של משתמשים, לצפות בהודעות פרטיות ובתשובות לשאלוני האופי שמילאו בעת הרישום לאפליקציה. בנוסף, יכלו התוקפים לבצע שלל פעולות בחשבונות כגון: שינוי פרטי הפרופיל, שינוי העדפה מינית, שליחת הודעות פרטיות ועוד
- אפל מאשרת: פרצת אבטחה חמורה קיימת ב-iOS מזה כמעט 8 שנים
- עדכנו בהקדם: פרצת אבטחה מאיימת על הסמארטפונים של סמסונג
- פרצה בשורת אפליקציות VPN חשפה פרטים רגישים של מעל 20 מיליון משתמשים - בהם ישראלים
החולשות פעלו כך: האקר שלח הודעה עם קישור זדוני בין אם מתוך האפליקציה או בכל דרך אחרת כגון הודעת טקסט, פוסט בפורום; הקלקה על הקישור הכניסה את התוקף לחשבון האישי של הקורבן. בתוך החשבון יכל התוקף לראות ולגנוב את המידע הרגיש השמור בפרופיל, כולל הודעות פרטיות ותכתובות מלאות, פרטים מזהים, העדפות מיניות, סרטים ותמונות. כמו כן, עם הכניסה לחשבון האישי התוקף היה יכול לבצע מניפולציות בתוכן הקיים בחשבון הקורבן, ובכלל זאת שינוי פרטי חשבון, שינוי העדפות ושליחת הודעות פרטיות מטעם הקורבן.
מדובר בסוג מאוד חמור של חולשות, בנוסף החברה הודתה שהיא נמצאה בתשתיות המחשוב שלה, זאת אומרת במחשבים שמשמשים אותה להפעלת השירות. חוקרי צ'ק פוינט זיהו את החולשות אסגרו אותן ל-OkCupid והליקויים תוקנו ישירות בשרתי החברה. המשתמשים אינם נדרשים לשום שינוי באפליקציה או בהגדרות השירות.
מהחברה גם נמסר: "המשתמשים יכולים להשתמש באפליקציה ללא חשש. אף משתמש לא הושפע מחולשות אלו". OkCupid נחשבת לאחת מאפליקציות ההיכרויות הפופולריות ביותר בעולם עם יותר מ-50 מיליון משתמשים ב-110 מדינות, כולל בישראל. היא היתה אפליקציית ההיכרויות הראשונה במכשירי המובייל. האפליקציה מוכרת היטב בציבור, ובעיקר בקרב צעירים בגילאי 24-35 שהם קהל היעד העיקרי שלה. בתקופת הקורונה החברה דיווחה על 20% עלייה בשימוש באפליקציה.
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט מסר: "אפליקציות היכרויות מכילות מידע אישי רב וחשוב ולכן רמת האבטחה שלהן הינה קריטית למשתמשים. הוכחנו שגם באחת האפליקציות הפופולריות בעולם נמצאו חולשות חמורות. החומרים שנמצאים על הפלטרפומות הללו הינם רגישים, ולכן יש לקוות שרמת האבטחה של אפליקציות היכרויות מעין אלו הינה מספקת".
ואנחנו גם נוסיף שאפליקציות היכרויות רבות נוטות להכיל לא פעם פרצות וחולשות. זו לא הפעם הראשונה שנחשפת אחת כזו באפליקציית היכרויות, כך למשל בינואר האחרון הואשמו OkCupid, גריינדר וטינדר על כך שהן מעבירות מידע אישי של משתמשים לצד שלישי בלי להודיע על כך.
זאת ועוד, בפברואר שנה שעברה, התברר שחשבונות משתמשים רבים נפרצו בשירות ואלה מצאו את עצמם נעולים בחוץ. לא ברור אם ההאקרים עשו שימוש באותה חולשה שנחשפה היום או שמדובר בפרצה אחרת. ההמלצה שלנו היא להפעיל ככל שניתן שירות אימות דו-שלבי שמאפשר להקשיח את הגישה לחשבון. אם אין כזה, אז לשקול לעבור לשירות שכן מפעיל אחד או פשוט להימנע מלשתף מידע אישי ככל שניתן על גבי האפליקציה.