Le messager Whiplr a été trouvé à utiliser une procédure de vérification des comptes non sécurisé en demandant les noms d'utilisateur en texte brut et des combinaisons de mots de passe. Cela permet aux utilisateurs malveillants de détourner facilement les informations en utilisant différentes méthodes.
Le Messager Whiplr utilise un compte Insecure Procédure de vérification: Éviter de rester en sécurité
Le messager Whiplr est une application de rencontres fétiche populaire qui a gagné en popularité parmi de nombreux utilisateurs mobiles. Un rapport de sécurité a cependant trouvé d'utiliser une méthode de vérification des comptes non sécurisé qui place tous les utilisateurs à un risque de confidentialité important. Les nouvelles ont éclaté après un site de nouvelles a rapporté que les utilisateurs enregistrés ont été invités à présenter leurs lettres de créance de compte (nom d'utilisateur, mot de passe et adresse e-mail) en texte brut. Un message électronique de l'échantillon lire ce qui suit:
Conformément à nos dossiers, nous n'avons pas identifié un compte associé à [Votre adresse email]. Afin de nous permettre d'exercer votre demande pour recevoir l'accès à vos données personnelles, nous vous demandons de bien vouloir les informations ci-dessous (s'il vous plaît répondre au-dessous de cet e-mail):
· L'adresse e-mail avec laquelle vous vous êtes inscrit sur Whiplr;
· Votre nom d'utilisateur sur Whiplr;
· Votre mot de passe sur Whiplr.
C'est un pratique dangereuse car il permet aux utilisateurs malveillants d'obtenir les informations d'identification par divers moyens. Whiplr eux-mêmes ont confirmé qu'ils stockent les informations d'identification de compte dans le texte brut qui signifie que lors du lancement d'une attaque de piratage informatique réussie sur eux les auteurs de tels crimes peuvent pirater tous les comptes utilisateurs.
Comme dans d'autres applications de rencontres Whiplr permet aux utilisateurs de créer leurs propres profils, y compris des éléments communs tels que des photos, surnom, intérêts, âge, passe-temps et etc. Comme il est annoncé comme utilisé pour adultes datant identifiants de compte volés peuvent être utilisés pour faire du chantage.
Il existe plusieurs méthodes que les criminels peuvent utiliser afin de voler les informations d'identification de compte:
- Man-in-the-middle - Par l'écoute clandestine sur le trafic réseau, les pirates peuvent détourner le contenu des messages de courrier électronique et par conséquent les informations de compte volé.
- Virus & Trojan Infections chevaux - Par gettingg infecté par des logiciels malveillants qui peuvent transmettre les activités de la victime aux opérateurs de pirates. Cela inclut également les clients de messagerie, les navigateurs et l'accès à l'application elle-même.
- Boîte de réception par courriel Hack - Si les criminels sont en mesure de s'immiscer dans les utilisateurs des victimes boîte de courrier électronique alors ils peuvent accéder aux messages électroniques envoyés.
L'agent de protection des données Whiplr a déclaré que l'incident était un “erreur de jugement” dans un cas isolé.