hackeři rychle uchopí obrovské množství dat o uživatelích seznamovacích aplikací. (Foto: Alexander Pohl/NurPhoto prostřednictvím Getty Images)

NurPhoto prostřednictvím Getty Images

Bumble hrdá na to, že jeden z více eticky smýšlející datování aplikace. Dělá však dost pro ochranu soukromých dat svých 95 milionů uživatelů? V některých ohledech, ne tolik, podle výzkumu, který Forbes ukázal před jeho veřejným vydáním.

Vědci z San Diego-založené Nezávislé Bezpečnostní Hodnotitelé zjistili, že i když byli vyloučeni ze služby, by mohly získat množství informací o daters pomocí Čmeláků. Před opravou nedostatků začátkem tohoto měsíce, které byly otevřeny po dobu nejméně 200 dnů od doby, kdy vědci upozornili Bumble, mohli získat totožnost každého uživatele Bumble. Pokud byl účet připojen k Facebook, bylo možné získat všechny jejich „zájmy“ nebo stránky, které se jim líbily. Hacker by také mohl získat informace o přesném druhu osoby, kterou uživatel Bumble hledá, a o všech obrázcích, které nahrál do aplikace.

možná nejvíce znepokojivé, pokud sídlí ve stejném městě jako hacker, bylo možné získat drsnou polohu uživatele při pohledu na jejich „Vzdálenost v mílích“.“Útočník by pak mohl zfalšovat umístění několika účtů a poté pomocí matematiky zkusit triangulovat souřadnice cíle.

„to je triviální při cílení na konkrétního uživatele,“ řekla Sanjana Sarda, bezpečnostní analytička ISE, která problémy objevila. Pro šetrné hackery bylo také „triviální“ přístup k prémiovým funkcím, jako je neomezené hlasování a pokročilé filtrování zdarma, dodal Sarda.

to vše bylo možné kvůli způsobu, jakým Bumble API nebo aplikační programovací rozhraní fungovalo. Představte si API jako software, který definuje, jak může aplikace nebo sada aplikací přistupovat k datům z počítače. V tomto případě je počítač serverem Bumble, který spravuje uživatelská data.

Sarda řekl pan Bumble API neudělal nezbytné kontroly a neměl limity, které jí umožnilo opakovaně sonda serveru pro informace o dalších uživatelů. Například, mohla vyjmenovat všechna čísla ID uživatele jednoduše přidáním jednoho k předchozímu ID. I když byla uzamčena, Sarda dokázala pokračovat v kreslení toho,co mělo být soukromými daty ze serverů Bumble. To vše bylo provedeno s tím, co říká, byl “ jednoduchý scénář.“

“ tyto problémy lze poměrně snadno využít a dostatečné testování by je odstranilo z výroby. Podobně, kterým se stanoví tyto otázky by mělo být relativně snadné jako možné opravy zahrnují na straně serveru, žádost o ověřování a omezující rychlost,“ Sarda řekl,

Jak to bylo tak snadné ukrást data na všechny uživatele a potenciálně vykonávat dozor nebo prodávat informace, upozorňuje na možná nemístná důvěra lidí v velké značky a aplikace dostupné prostřednictvím Apple App Store nebo Google Play trhu, Sarda dodal. Nakonec, to je “ obrovský problém pro každého, komu záleží i na dálku na osobních údajích a soukromí.“

Chyby opraveny… půl roku později,

i Když to trvalo asi šest měsíců, Bumble pevné problémy na začátku tohoto měsíce, mluvčí a dodává: „Bumble má za sebou dlouhou historii spolupráce s HackerOne a jeho bug bounty program jako součást naší celkové kybernetické bezpečnosti praxe, a to je další příklad toho, že partnerství. Poté, co byl upozorněn na problém jsme pak začali multi-fáze sanačního procesu, která zahrnovala uvedení kontrol na místě chránit všechna uživatelská data, zatímco oprava byla prováděna. Základní problém související s bezpečností uživatelů byl vyřešen a nebyla ohrožena žádná uživatelská data.“

Sarda zveřejnil problémy již v březnu. Přes opakované pokusy získat odpověď na webu HackerOne zranitelnosti zveřejnění od té doby, Bumble neposkytl jeden, podle Sarda. Do listopadu 1, Sarda uvedla, že zranitelnosti v aplikaci stále pobývají. Pak, dříve Tento měsíc, Bumble začal problémy řešit.

Jako stark srovnání, Bumble rival Pant úzce spolupracoval s ISE vědec Brendan Ortiz, když mu poskytla informace o zranitelnosti na Zápas-ve vlastnictví datování app přes léto. Podle časové osy poskytnuté společností Ortiz společnost dokonce nabídla přístup k bezpečnostním týmům, které mají za úkol zapojit díry do softwaru. Problémy se řešily za necelý měsíc.

Následujte mě na Twitteru. Podívejte se na mé webové stránky. Pošlete mi Bezpečný tip.