Check Point Research descubre vulnerabilidades críticas en la aplicación móvil y web de citas OkCupid

Este fallo de seguridad, que pone en riesgo la privacidad de 50 millones de usuarios en todo el mundo, permite a un cibercriminal tener acceso al perfil, mensajes privados y fotografías del usuario

Investigadores de Check Point Research, la división de inteligencia de amenazas de Check Point® Software Technologies Ltd. han descubierto y ayudado a solventar varias vulnerabilidades críticas en la página web y aplicación móvil de OkCupid. En el caso de que un cibercriminal explotase estos fallos de seguridad, podría tener acceso y robar información privada y sensible de los usuarios de este servicio, así como enviar mensajes desde su perfil sin que la persona sea consciente de ello.

OkCupid, que llegó al mercado en 2004, es uno de los principales servicios online gratuitos para conocer gente a nivel mundial con más de 50 millones de usuarios en 110 países de todo el mundo. En 2019, se produjeron 91 millones de conexiones entre usuarios de la aplicación, y tuvieron lugar más de 50.000 citas a la semana. Por otra parte, durante la crisis de la COVID-19, este servicio experimentó un crecimiento de un 20% en el total de conversaciones. La cantidad de información y detalles personales que aportan los usuarios a la hora de crear sus perfiles convierten a aplicaciones como OkCupid en un objetivo potencial de los cibercriminales, ya sea mediante ataques dirigidos o para obtener información y venderla a terceros.

Los investigadores de Check Point han encontrado vulnerabilidades en la app y página web de OkCupid que permiten a un cibercriminal tener acceso total al perfil de un usuario, mensajes privados, orientación sexual, dirección y las respuestas al cuestionario que la aplicación obliga a rellenar para abrir un perfil. Los fallos de seguridad también abren al posibilidad de manipular los datos del perfil del usuario y enviar nuevos mensajes a otros contactos dentro de la aplicación, suplantando la identidad del verdadero propietario de la cuenta para realizar actividades fraudulentas.

¿Cómo funciona esta vulnerabilidad?

Los investigadores de la compañía detallan los tres pasos del método de ataque utilizado por los cibercriminales que buscaban explotar esta vulnerabilidad:

1. Generar un enlace con una carga maliciosa que desencadena el ataque

2. Enviar el link a la víctima o publicarla en un foro abierto para que los usuarios hagan clic sobre él

3. Una vez que el enlace redirige a una web, se ejecuta el código malicioso, que permite tener acceso a la cuenta de la víctima

Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point señala que “el análisis que hemos llevado a cabo en torno a OkCupid, una de las plataformas de citas online más populares, ha sembrado la duda sobre los niveles de seguridad de este tipo de aplicaciones. Hemos demostrado que un cibercriminal podría manipular la información sensible, fotografías y mensajes de los usuarios, por lo que todos los desarrolladores de aplicaciones de citas y usuarios deberían parar y reflexionar sobre las garantías de seguridad que ofrecen a su información y fotografías privadas que suben y comparten a través de este tipo de plataformas. Afortunadamente, OkCupid atendió de forma inmediata a nuestros descubrimientos y recomendaciones, por lo que solventaron las vulnerabilidades de su app y página web”.

Los investigadores de Check Point compartieron sus hallazgos con los responsables de OkCupid, quienes reconocieron los fallos de seguridad y los solventaron de tal forma que los usuarios no tuvieran que realizar ninguna acción extra. Tras esto, desde la compañía compartieron las siguientes declaraciones: “Check Point Research informó a los desarrolladores de OkCupid acerca de las vulnerabilidades que habían encontrado, así como las claves para solventar el fallo y garantizar así que los usuarios pueden seguir utilizando la aplicación de forma segura. Ningún usuario se ha visto afectado por esta vulnerabilidad, ya que fuimos capaces de repararla en 48 horas. Estamos muy agradecidos a socios como Check Point, que nos ayudan a mantener la seguridad y la privacidad de los usuarios como una de nuestras prioridades”.