O Meetup é uma plataforma de organização de grupos online para a realização de eventos que conta com 44 milhões de utilizadores. Segundo uma investigação da Checkmarx, a plataforma tinha uma vulnerabilidade de segurança capaz de dar acesso aos hackers aos dados pessoais dos utilizadores, assim como a possibilidade de redirecionar os pagamentos dos fundos monetários dos projetos.

Com o isolamento forçado devido à pandemia de COVID-19, a plataforma tornou-se ainda mais popular, com muitos grupos a organizarem encontros virtuais, o que tornaria o Meetup ainda mais "apetecível" aos hackers.

A Checkmarx, citado pela Forbes, descobriu durante uma auditoria a diversos websites de alto calibre, incluindo o Meetup, que havia problemas comuns com uma API, com dois tipos de vulnerabilidades: cross-site scripting (XSS) e cross-site request forgery (CSRF). O primeiro encontra-se em aplicações web que possibilitam ataques maliciosos, capazes de injetar scripts dentro das páginas que são acedidas pelos utilizadores; o segundo refere-se à falsificação de solicitação entre sites, conhecido também por “ataques de um clique”.

Segundo David Sopas, o responsável pela investigação da Checkmarx, foi descoberto que era possível criar um script malicioso na área de discussão, ligada por defeito, numa página de grupo do Meetup. Esse script poderia ser refletido do servidor para a página do utilizador, de forma a correr um popup de JavaScript quando acedia a essa página do serviço. E enquanto o utilizador tivesse esse popup ativo no seu browser, um hacker poderia executar tudo o que quisesse através do JavaScript.

Apesar deste tipo de vulnerabilidades ser muito comum, e cada uma delas serem sérias, por si, quando as duas estão juntas na mesma aplicação de web, o caso é mais grave, refere Erez Yalon, o diretor de investigação de segurança da Checkmarx. Ao combinar as duas vulnerabilidades, os hackers podiam modificar os seus privilégios de um simples utilizador do Meetup para um coorganizador do grupo, sem a necessidade de autorizações ou permissões, mascarado pelo exploit do script XSS. Na prática, um hacker poderia aceder às funções do grupo, tais como criar eventos, contactar membros e até gerir o dinheiro dos projetos.

Segundo David Sopas, a equipa de segurança simulou também o próximo passo, que seria modificar o endereço de email do Meetup ligado à conta de PayPal da organização do grupo. Assim, os futuros pagamentos dos membros seriam direcionados para o novo endereço, sem que a organização fosse notificada de que o seu email havia sido modificado.

A especialista em segurança enviou todas as provas das vulnerabilidades à Meetup em dezembro de 2019. A Meetup confirmou que as correções foram feitas em março de 2020, estando agora mais segura, segundo o último relatório da Checkmarx.