Jakarta (PARADE.ID)- Perusahaan keamanan siber asal Israel, Check Point, menemukan sejumlah masalah keamanan (bug) di platform kencan daring, OkCupid.
Masalah tersebut berpotensi seseorang bisa memata-matai informasi pribadi pengguna dari jarak jauh. Atau, penyerang bisa menipu atas nama akun yang diambil alih.
Menurut Check Point, seperti dikutip dari The Hacker News, diakses Jumat (30 Juli 2020), kerentanan itu terdapat pada aplikasi berbasis Android dan web.
Kerentanan yang ada memungkinkan pencurian token autentikasi pengguna, ID pengguna, dan informasi pribadi lain seperti alamat email, preferensi, orientasi seksual, dan lain-lain. Kebocoran data ini bisa dipakai penjahat untuk menyebarkan email phishing dan pemerasan seksual (sextortion).
Check Point menyatakan telah melaporkan temuan itu ke Match Group, perusahaan yang menaungi OkCupid dan telah memperbaikinya. Perusahaan mengatakan tidak ada satu pun pengguna yang terkena dampak kerentanan tersebut.
Kerentanan ini diidentifikasi sebagai bagian dari rekayasa balik aplikasi Android OkCupid versi 40.3.1, yang dirilis pada 29 April awal 2020. Sejak itu, ada 15 pembaruan untuk aplikasi dengan versi terbaru (43.3.2).
Menurut Check Point, penggunaan tautan (deep link) di OkCupit memungkinkan peretas mengirim tautan khusus yang dirancang agar pengguna membuka jendela browser dengan JavaScript diaktifkan. Permintaan semacam itu ditemukan untuk mengembalikan cookiespengguna.
Tak hanya itu, Check Point juga menemukan kelemahan dalam fungsi pengaturan OkCupidyang membuatnya rentan terhadap serangan XSS dengan menyuntikkan kode JavaScript berbahaya—menggunakan parameter sectionsebagai berikut: “https://www.okcupid.com/settings?section=value”.
Serangan XSS tersebut dapat ditambah lebih lanjut dengan memuat muatan JavaScript dari server yang dikendalikan penyerang untuk mencuri token otentikasi, informasi profil, dan preferensi pengguna, dan mengirimkan data yang dikumpulkan kembali ke server.
“Cookies pengguna dikirim ke server [OkCupid] sejak muatan XSS dieksekusi dalam konteks WebView aplikasi. Server merespons dengan JSON yang luas yang berisi id pengguna dan token otentikasi,” kata Check Point.
Setelah memiliki ID pengguna dan token, penjahat dapat mengirim permintaan ke titik akhir https://www.OkCupid.com:443/graphql untuk mencuri semua informasi yang terkait dengan profil korban (alamat email, seksual orientasi, tinggi, status keluarga, dan preferensi pribadi lainnya) serta melakukan tindakan atas nama individu yang diretas, seperti mengirim pesan dan mengubah data profil.
Namun, pembajakan akun secara penuh tidak dimungkinkan karena cookies dilindungi dengan “HTTPOnly”.
Kelemahan lain, kata Check Point, pada Cross-Origin Resource Sharing (CORS) server API, di mana penyerang dapat membuat permintaan dari asal mana pun (misal “Https://okcupidmeethehacker.com”) untuk mendapatkan pengguna Token ID dan otentikasi, dan selanjutnya, menggunakan informasi itu untuk mengekstrak detail profil dan pesan menggunakan titik akhir “profil” dan “pesan” API.
(Cyberthreat/PARADE.ID)
