Nicht OK, Amor: Dating-Website E-Mail-Sicherheit Fauxpas lässt Ihr Konto weit offen

Ein Freund, der vor kurzem mit OkCupid gestartet weitergeleitet nur mir eine E-Mail sie von der Stelle bekam, eine lustige Nachricht aus einer prospektiven suitor enthält: "Du scheinst, nett zu sein. Möchten Sie mit mir einen Termin tun?"

Ich habe auf die Nachricht, neugierig zu sehen, ob der Absender ein sexy Ausländer war, für die Englisch eine zweite Sprache. Plötzlich war ich in Rechnung meines Freundes, bei all ihrer gelesenen und ungelesenen Nachrichten anstarrte. Ich konnte ihren Instant Messages sehen. Ich konnte ihr Profil bearbeiten. Nur weil ich auf eine E-Mail geschickt, um ihr angeklickt hatte, dachte ich OkCupid war ihr.

OkCupid häufig E-Mails seiner Nutzer neue Matches, fordert sie ihre Konten zu aktualisieren, und sendet sie andere Links auf die Website. Jene "anmelden sofort" Links sind ein Token, ohne zu fragen, ein Kennwort mit der E-Mail-Adresse zugeordnet auf das Konto anmeldet. Auch wenn es es einfach für jedermann mit dem Link um einen Benutzer zu imitieren macht, hält OkCupid diese eine Funktion, nicht einen Fehler, weil es die Nutzer schnell und nahtlos auf dem Gelände pendelt.

OkCupid dachte, ich wäre ihr

"Einloggen sofort" ist nicht neu, aber es ist eine ungewöhnliche Wahl für ein soziales Netzwerk und eine potenziell alarmierende Funktion für einen Dienst, der viele Nutzer sehr persönlichen betrachten. Darüber hinaus haben die meisten Benutzer nicht bewusst zu sein scheinen. Diejenigen, die seit 2009 über beklagen haben, wie leicht es ist, versehentlich in vollem Umfang Rechnung Zugang zu geben. OkCupid sank auf die Praxis zu äußern.

"Diese Niederlagen völlig den Zweck ein Passwort für den Standort zu haben," ein Benutzer die auf dem Forum OkCupid. Ein anderer Benutzer darauf hingewiesen, dass es keinen Mechanismus gibt, um zu verhindern "rohe Gewalt" Angriffe, einen entschlossenen Hacker Sinn könnten zufälligen URLs erzeugen, bis er oder sie eine gefunden, die auf ein Konto führen würden.

Die typische Beschwerde, schien jedoch zu sein, dass die Nutzer OkCupid E-Mails weitergeleitet haben, ohne zu merken, dass sie auch auf ihre Konten über die Tasten wurden Gabe:

Wenn bekam ich meine ersten "anmelden sofort" E-Mail, ich wusste nicht, dass "sofort" bedeutet, ohne ein Passwort einzugeben, und ich habe es nie getestet. Ich leitete die E-Mail an meinen Freund ihr von OkCupid zu erzählen, und damit hat sie nun vollen Zugriff auf mein Konto. Ok, sie ist mein Freund und Gott sei Dank, sagte sie zu mir, wie der Link funktioniert, so ist es nicht das Schlimmste, was in der Welt, aber es mir ein wenig ausgesetzt fühlt sich machen, und was ist, wenn ich es an jemanden geschickt hatte, war ich ein wenig weniger freundlich mit? Ich weiß nicht, von einer anderen Website, die einen sofortigen Login-Link wie das erlaubt, ohne ein Passwort eingeben zu müssen. Ich habe mein Passwort nachträglich geändert, aber das gleiche Link funktioniert noch. So kann ich nicht denken Sie an einen Weg, dies rückgängig zu machen, ohne mein Konto zu schließen und eine neue Öffnung (oder nicht).

In einem anderen Fall gebloggt eine Frau einen Mann über OkCupid sie vorgeschlagen hatte. Sie packte den Link zu seinem Profil von ihrer E-Mail, nicht ahnend, dass jeder Leser, der darauf geklickt würde dann sofort als sie angemeldet sein.

Ein weiterer OkCupid Benutzer lesen ihre Post, klickte auf den Link, und fand sich innerhalb Posteingang jemand anderes.

"Ich bin viel zu sehr Gentleman einer Dame Mail zu lesen, aber ich habe um ein wenig mehr, um zu navigieren, um zu bestätigen, was ich vermuten: Ich war nicht mehr angemeldet als ich selbst, ich als sie angemeldet wurde," schrieb er in einem Blog-Beitrag mit dem Titel "Eine Sicherheitslücke auf OkCupid."

"Was passiert, wenn jemand eine dieser Kaninchen Löcher nach unten ging, der kein Gentleman (noch eine Dame) überhaupt war?" er machte weiter. "Ja, haben Spaß denken über all die bösen Dinge, die eine Person tun kann."

"Was passiert, wenn jemand geht eine dieser Kaninchen Löcher nach unten, die überhaupt kein Gentleman war?"

Das Token in der vorliegenden Anmeldung Link arbeitete mehrere Male. Es ist schließlich endet, aber es ist nicht klar, wie lange das dauert (testete ich einen Link, die älter als ein Jahr war, es versäumt zu arbeiten).

Dave Evans hat ein Experte für Online-Dating fast so lange, wie es um gewesen ist; er schreibt den Dating Insider Blog Online und ist ein tollwütiger Online-Dater selbst. Und doch war er keine Kenntnis von der Instant-Login-Funktion. "Das ist sicherlich eine Frage der Sicherheit auf höchstem Niveau," er sagt.

Eine weitere Dating-Website, HowAboutWe beschäftigt Instant-Logins von E-Mail-Links, sondern ermöglicht es Benutzern, zu deaktivieren.

"Wir bauten ursprünglich diese Funktion, weil die Menschen sie angefordert viele Male; es ermöglicht eine easeful und sofortige Benutzererfahrung," Bemerken sagt HowAboutWe Mitbegründer Brian Schechter, dass diese Links Benutzer nicht erlauben, Kreditkarte oder Passwort-Informationen zu sehen. "Sicherheit, Sicherheit und Privatsphäre sind alle sehr wichtig bei HowAboutWe und wir würden auf jeden Fall abraten Sharing Links in E-Mails von HowAboutWe mit Menschen, die Sie nicht wollen, Zugang zu Ihrem Profil zu gewinnen."

Illustration von Dylan C. Lathrop.