OkCupid, una delle dating app più popolari del momento, è finita sotto la lente d’ingrandimento per alcune gravi lacune di sicurezza che se sfruttate avrebbero potuto mettere in serio pericolo la privacy dei suoi oltre 50 milioni di utenti. Secondo un gruppo di ricerca di Cyber Security, le criticità avrebbero potuto portare alla compromissione di tutto il profilo dell’utente, compresi messaggi, ma anche orientamento sessuale, indirizzo e le risposte alle domande che l’applicazione utilizza per meglio profilare i suoi utenti. I ricercatori dell’americana Check Point, che per primi hanno portato alla luce le vulnerabilità, hanno seguito alla lettera i dettami di Responsible Vulnerability Disclosure, informando con largo anticipo l’azienda che ha provveduto a correggere i difetti nella propria applicazione.
(Nella foto: Pierguido Iezzi, co-fondatore e Ceo di Swascan)
Ma anche ora che questi sono stati risolti rimane la domanda: Quanto sono veramente sicuri i miei dati all’interno dell’applicazione?
Le vulnerabilità – Per effettuare l’attacco, un Criminal Hacker dovrebbe convincere gli utenti di OkCupid, tramite social engineering a cliccare su un singolo link malevolo per poi eseguire codice dannoso.
L’aggressore avrebbe potuto inviare il link alla vittima (dalla stessa piattaforma di OkCupid o sui social media) oppure pubblicarlo in un forum pubblico. Una volta che la vittima ha cliccato sul link maligno, i dati vengono poi esfiltrati.
Il motivo per cui questo funziona è che il dominio principale di OkCupid era vulnerabile a un attacco di cross-site scripting (XSS).
Durante il processo di reverse-engineering dell’applicazione OkCupid su Android (v40.3.1 su Android 6.0.1), i ricercatori hanno scoperto che l’applicazione segue sistematicamente tutti i link che corrispondono a indirizzi personalizzati (come lo schema personalizzato “OkCupid://”) tramite un link del browser, senza fare alcuna verifica in merito alla loro effettiva validità o sicurezza.
I ricercatori, così facendo, sono stati in grado di iniettare codice JavaScript dannoso nelle impostazioni del profilo utente nella funzionalità delle impostazioni.
Questo metodo potrebbe essere utilizzato per rubare i token di autenticazione degli utenti, gli ID degli account, i cookie e i dati sensibili degli account come gli indirizzi e-mail.
Potrebbero anche rubare i dati del profilo degli utenti, così come i loro messaggi privati dalle chat.
Quindi, utilizzando il token di autorizzazione e l’ID utente, un aggressore potrebbe eseguire azioni come la modifica dei dati del profilo e l’invio di messaggi dall’account del profilo dell’utente.
Secondo i ricercatori, “l’attacco consente all’aggressore di mascherarsi da utente vittima, di eseguire qualsiasi azione in sua vece e di accedere a qualsiasi suo dato”.
Un problema di “settore” – Non è la prima volta che OkCupid ha dovuto fare i conti con dei problemi del genere. L’anno scorso, una vulnerabilità critica era stata trovata nell’applicazione che avrebbe permesso ai Criminal Hacker di rubare credenziali, lanciare attacchi Man in the Middle e compromettere totalmente l’account della vittima.
Come se non bastasse, l’azienda dietro l’omonima app aveva negato nello stesso periodo di essere stata vittima di un Data Breach, nonostante un susseguirsi di lamentele di questo tipo da parte dei suoi utilizzatori.
Qui potrebbe anche entrare in gioco una questione più personale. L’assenza di report in merito a supposti Data Leak o Data Breach da parte di utenti non completamente liberi a livello di relazione…
Ma i problemi non si limitano alla sola OkCupid. Tutto il settore delle dating app, sembra sempre più o meno coinvolto in critiche feroci sulla sua gestione dei dati dei propri utenti e di come gestisce la loro privacy.
Grinder, MobiFriend e Coffee Meets, altre piattaforme similari, hanno tutte dovuto fare i conti con problemi di privacy e alcune si sono addirittura arrogate il diritto di collezionare, conservare e condividere informazioni private.
Nel 2019, un’analisi di ProPrivacy, azienda inglese attiva nell’eponimo settore, aveva scoperto che dating app come Match e Tinder raccoglievano ogni singolo brandello di informazione che transitava dalla loro piattaforma – dalle chat alle informazioni finanziarie – per poi condividerlo con terzi.
Le loro stesse policy sulla privacy si riservano inoltre il diritto di condividere specificamente le informazioni personali con gli inserzionisti e altri partner commerciali.
Il problema è che gli utenti, che anagraficamente si trovano per la maggior parte nel range 18-35, spesso non sono a conoscenza di queste pratiche sulla privacy.
Ogni sviluppatore e ogni utente di un’applicazione di dating dovrebbe fermarsi un attimo a riflettere su cosa si può fare di più in materia di sicurezza, soprattutto quando si entra in quella che potrebbe essere un’imminente pandemia informatica vista la loro crescente popolarità e la quantità di dati preziosi che immagazzinano.
In questo mondo delle relazioni 4.0, i gestori di queste piattaforme non possono limitarsi a gestire la sicurezza delle proprie soluzioni in maniera reattiva.
Il patrimonio di dati in loro possesso è veramente inestimabile e di carattere “veramente” privato. A loro deve passare l’onere di effettuare costantemente e periodicamente analisi del rischio tecnologico sulle proprie soluzioni attraverso Penetration Testing – ovviamente in linea con gli standard riconosciuti come Owasp, Penetration Testing Execution Standard e OSSTMM – Troppo spesso, per risparmiare tempo e denaro, le regolari attività di penetration testing vengono sostituite con Vulnerability Assessment automatizzati spacciati come qualcosa che non sono. Questo vale per le dating app, ma anche per qualsiasi altra organizzazione interessata a scovare tutti i propri punti deboli della propria infrastruttura.
Un vero Penetration test è una simulazione di un attacco Criminal Hacker il cui fine è quello di raccogliere quante più informazioni sul bersaglio scelto, individuando i punti di accesso più probabili, ma anche i più nascosti e insospettabili, tentando di violarli e analizzandone i risultati forniti sotto forma di reportistica. Per essere completo deve seguire tutti e cinque i suoi step cardine:
• Information Gathering: la raccolta di informazioni utili per le fasi successive e al contempo determinare le potenziali superfici di attacco;
• Vulnerability Scan and Analysis: prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive condotte avvalendosi di sistemi di sicurezza preventiva al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi;
• Vulnerability Analysis: Le scansioni sono successivamente integrate da verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi eventualmente introdotti dagli strumenti di analisi automatica. Tale modalità operativa consente di offrire test esaustivi effettuati coprendo l’intera superficie di attacco del sistema IT.
• Exploitation: sulla base delle risultanze rilevate nelle fasi precedenti, in particolare nella fase di vulnerablity assessment e analisi, l’attività si concentra nello stabilire un accesso al sistema, aggirando gli eventuali sistemi e controlli di sicurezza presenti.
• Post Exploitation: valuta il valore dell’asset che si è riusciti a compromettere, lavorando nel contempo per garantirsi l’accesso anche per possibili usi futuri.
Siamo nell’epoca dell’amore 4.0 e Il mondo delle applicazioni di dating online si è sviluppato fino ad arrivare al punto in cui si trova ora; con milioni di utenti in tutto il mondo, sparsi su decine di piattaforme e applicazioni.
Soprattutto negli ultimi 6 mesi – dallo scoppio del Coronavirus in tutto il mondo – i nuovi comportamenti “normali” come il distanziamento sociale hanno spinto ancora più persone a scegliere queste soluzioni.
Le app e le piattaforme sono state create per riunire le persone, ma naturalmente dove la gente va, i criminali le seguiranno alla ricerca di facili prede.
Fonte: Pierguido Iezzi – CyberSecurity Director, Digital Innovation Manager, co-fondatore di Swascan