Non OK, Cupido: incontri gaffe sicurezza del sito e-mail lascia il tuo account spalancata

Un amico che ha recentemente iniziato a utilizzare OkCupid appena mi ha inoltrato una e-mail ha ottenuto dal sito, che contiene un messaggio divertente da un potenziale pretendente: "Sembri carino. Vuoi fare un appuntamento con me?"

Ho cliccato sul messaggio, curioso di vedere se il mittente era uno straniero sexy per cui l'inglese era una seconda lingua. Improvvisamente, ero nel conto di un mio amico, a fissare tutta la sua lettura e messaggi non letti. Ho potuto vedere i suoi messaggi istantanei. Potrei modificare il suo profilo. Solo perché avevo cliccato su una e-mail inviata a lei, OkCupid pensato che era sua.

OkCupid frequentemente messaggi di posta elettronica ai suoi utenti nuove partite, li spinge ad aggiornare i loro conti, e invia loro altri collegamenti al sito. quelli "login istantaneamente" collegamenti includono un token che accede all'account associato all'indirizzo di posta elettronica senza richiedere una password. Anche se rende facile per chiunque con il link per rappresentare un utente, OkCupid considera questa una caratteristica, non è un bug, perché navette utenti in modo rapido e senza soluzione di continuità sul sito.

OkCupid pensava che io fossi sua

"Accedi istantaneamente" non è nuovo, ma è una scelta insolita per un social network, e una funzione potenzialmente allarmanti per un servizio che molti utenti considerano profondamente personale. Inoltre, la maggior parte degli utenti non sembrano essere a conoscenza di esso. Coloro che sono si sono lamentati dal 2009 su come sia facile dare accidentale accesso completo all'account. OkCupid ha rifiutato di commentare sulla pratica.

"Questo sconfigge completamente lo scopo di avere una password per il sito," Un utente ha detto sul forum OkCupid. Un altro utente ha notato che non v'è alcun meccanismo per prevenire "forza bruta" attacchi, il che significa che un hacker determinato potrebbero generare URL casuali fino a che non ha trovato uno che porterebbe ad un account.

Il tipico denuncia, tuttavia, sembrava essere che gli utenti sono stati inoltra le email OkCupid senza rendersi conto che essi sono stati anche la consegna delle chiavi ai loro conti:

Quando ho ottenuto il mio primo "login istantaneamente" e-mail, non mi rendevo conto che "immediatamente" Intendevo senza dover inserire una password, e non ho mai provato. Ho inoltrato l'e-mail al mio amico per dirle OkCupid, e di conseguenza lei ha ora pieno accesso al mio conto. Ok, lei è mia amica e per fortuna mi ha raccontato di come il collegamento ha funzionato, quindi non è la cosa peggiore del mondo, ma non mi fa sentire un po 'esposto, e che se avessi inviato a qualcuno che era un po' meno amichevole con? Non so di qualsiasi altro sito che permette un collegamento di accesso istante del genere senza dover inserire una password. In seguito ho cambiato la mia password, ma lo stesso link funziona ancora. Quindi non posso pensare a un modo per annullare questo senza chiudere il mio account e l'apertura di una nuova (o meno).

In un altro caso, una donna bloggato su un ragazzo OkCupid aveva suggerito a lei. Afferrò il link al suo profilo da lei e-mail, non rendendosi conto che ogni lettore che hanno cliccato su di esso sarebbe poi immediatamente registrato come il suo.

Un altro utente OkCupid leggere il suo posto, cliccato sul link, e si trovò all'interno casella di posta di qualcun altro.

"Sono troppo gentiluomo per leggere la posta di una signora, ma ho fatto navigare intorno un po 'di più, al fine di confermare quello che sospettavo: non ero più entrato come me, è stato effettuato il login come il suo," ha scritto in un post sul blog dal titolo "Un buco di sicurezza su OkCupid."

"E se qualcuno è andato giù uno di questi fori di coniglio, che non era un gentiluomo (né una signora) a tutti?" Lui continuò. "Sì, hanno il pensiero divertirsi a tutte le cose malvagie una tale persona potrebbe fare."

"E se qualcuno è andato giù uno di questi fori di coniglio, che non era un gentiluomo a tutti?"

Il token nel link di accesso istante ha lavorato più volte. Esso scade alla fine, ma non è chiaro per quanto tempo che prende (ho provato un collegamento che è stato più di un anno, ma non ha funzionato).

Dave Evans è stato un esperto di dating online quasi tutto il tempo è stato in giro; scrive la linea blog Incontri Insider ed è un datario in linea rabbioso se stesso. Eppure non era a conoscenza della funzione di accesso immediato. "Che certamente è un problema di sicurezza di prim'ordine," lui dice.

Un altro sito di incontri, HowAboutWe, impiega accessi istantanei da collegamenti e-mail, ma permette agli utenti di opt-out.

"Inizialmente abbiamo costruito questa funzionalità perché le persone hanno chiesto molte volte; permette per un'esperienza utente più easeful e immediata," dice HowAboutWe co-fondatore Brian Schechter, notando che questi collegamenti non consentono agli utenti di vedere carta di credito o password. "Sicurezza, la sicurezza e la privacy sono tutti estremamente importante in HowAboutWe e abbiamo sicuramente sarebbe sconsigliare condivisione di link in email da HowAboutWe con le persone che non si desidera accedere al vostro profilo."

Illustrazione di Dylan C. Lathrop.