Bumble er stolt af at være en af de mere etisk-minded dating apps. Men gør det nok for at beskytte de private data for sine 95 millioner brugere? På nogle måder, ikke så meget, ifølge forskning vist til Forbes forud for sin offentlige udgivelse.
forskere ved de San Diego-baserede uafhængige Sikkerhedsevaluatorer opdagede, at selvom de var blevet forbudt fra tjenesten, kunne de erhverve et væld af oplysninger om datere ved hjælp af Bumble. Før fejlene blev rettet tidligere i denne måned, efter at have været åbne i mindst 200 dage siden forskerne advarede Bumble, kunne de erhverve identiteten af hver Bumble-bruger. Hvis en konto var forbundet til Facebook, var det muligt at hente alle deres “interesser” eller sider, de har ønsket. En hacker kunne også få oplysninger om den nøjagtige type person, en Bumble-bruger leder efter, og alle de billeder, de uploadede til appen.
måske mest bekymrende, hvis det var baseret i samme by som hackeren, var det muligt at få en brugers uslebne placering ved at se på deres “Afstand i miles.”En angriber kunne derefter falske placeringer af en håndfuld konti og derefter bruge matematik til at forsøge at triangulere et måls koordinater.
“dette er trivielt, når man målretter mod en bestemt bruger,” sagde Sanjana Sarda, en sikkerhedsanalytiker hos ISE, der opdagede problemerne. For sparsomme hackere var det også” trivielt ” at få adgang til premium-funktioner som ubegrænsede stemmer og avanceret filtrering gratis, tilføjede Sarda.
dette var alt muligt på grund af den måde, hvorpå Bumbles API eller applikationsprogrammeringsgrænseflade fungerede. Tænk på en API som det program, der definerer, hvordan en app eller et sæt apps kan få adgang til data fra en computer. I dette tilfælde er computeren Bumble-serveren, der administrerer brugerdata.
Sarda sagde, at Bumbles API ikke foretog de nødvendige kontroller og ikke havde grænser, der gjorde det muligt for hende gentagne gange at undersøge serveren for information om andre brugere. For eksempel kunne hun opregne alle bruger-ID-numre ved blot at tilføje et til det forrige ID. Selv da hun var låst ude, Sarda var i stand til at fortsætte med at tegne, hvad der skulle have været private data fra Bumble-servere. Alt dette blev gjort med det, hun siger, var et “simpelt script.”
” disse problemer er relativt enkle at udnytte, og tilstrækkelig test ville fjerne dem fra produktionen. Ligeledes bør det være relativt let at løse disse problemer, da potentielle rettelser involverer verifikation på serversiden og hastighedsbegrænsning,” sagde Sarda
da det var så let at stjæle data om alle brugere og potentielt udføre overvågning eller videresælge oplysningerne, fremhæver det den måske forkert placerede tillid, som folk har til store mærker og apps, der er tilgængelige via Apple App Store eller Googles Play market, tilføjede Sarda. I sidste ende er det et “stort problem for alle, der bekymrer sig selv eksternt om personlige oplysninger og privatliv.”
fejl rettet … et halvt år senere
selvom det tog nogle seks måneder, fik Bumble problemerne tidligere i denne måned med en talsmand, der tilføjede: “Bumble har haft en lang historie med samarbejde med HackerOne og dets bug bounty-program som en del af vores overordnede cybersikkerhedspraksis, og dette er et andet eksempel på dette partnerskab. Efter at være blevet advaret om problemet begyndte vi derefter den flerfasede afhjælpningsproces, der omfattede at sætte kontroller på plads for at beskytte alle brugerdata, mens rettelsen blev implementeret. Det underliggende brugersikkerhedsrelaterede problem er løst, og der var ingen brugerdata kompromitteret.”
Sarda afslørede problemerne tilbage i Marts. På trods af gentagne forsøg på at få et svar over HackerOne sårbarhed afsløring hjemmeside siden da, Bumble havde ikke givet en, ifølge Sarda. I November 1, Sarda sagde, at sårbarhederne stadig var bosiddende i appen. Derefter, tidligere denne måned, Bumble begyndte at løse problemerne.
som en skarp sammenligning, Bumble rival Hinge arbejdede tæt sammen med ise-forsker Brendan Ortis, da han leverede oplysninger om sårbarheder til den Matchejede dating-app i løbet af sommeren. Virksomheden tilbød endda at give adgang til de sikkerhedsteams, der havde til opgave at tilslutte huller i programmet. Problemerne blev løst på under en måned.
Følg mig på Facebook. Tjek min hjemmeside. Send mig et sikkert tip.