Bumble ist stolz darauf, eine der ethisch gesinnten Dating-Apps zu sein. Aber tut es genug, um die privaten Daten seiner 95 Millionen Nutzer zu schützen? In gewisser Weise nicht so sehr, wie Forbes vor seiner Veröffentlichung gezeigt hat.Forscher der in San Diego ansässigen Independent Security Evaluators stellten fest, dass sie, selbst wenn sie vom Dienst ausgeschlossen worden wären, eine Fülle von Informationen über Daten erhalten könnten, die Bumble verwenden. Bevor die Fehler Anfang dieses Monats behoben wurden und seit mindestens 200 Tagen geöffnet waren, seit die Forscher Bumble alarmiert hatten, konnten sie die Identität jedes Bumble-Benutzers ermitteln. Wenn ein Konto mit Facebook verbunden war, war es möglich, alle ihre „Interessen“ oder Seiten abzurufen, die ihnen gefallen haben. Ein Hacker könnte auch Informationen über die genaue Art von Person erhalten, nach der ein Bumble-Benutzer sucht, und über alle Bilder, die er in die App hochgeladen hat.Am beunruhigendsten ist vielleicht, dass es möglich war, den groben Standort eines Benutzers zu ermitteln, wenn er in derselben Stadt wie der Hacker ansässig war, indem er seine „Entfernung in Meilen“ betrachtete.“ Ein Angreifer könnte dann die Standorte einer Handvoll Konten fälschen und dann mithilfe von Mathematik versuchen, die Koordinaten eines Ziels zu triangulieren. „Das ist trivial, wenn man auf einen bestimmten Benutzer abzielt“, sagte Sanjana Sarda, eine Sicherheitsanalystin bei ISE, die die Probleme entdeckte. Für sparsame Hacker war es auch „trivial“, kostenlos auf Premium-Funktionen wie unbegrenzte Stimmen und erweiterte Filterung zuzugreifen, fügte Sarda hinzu.
Dies war alles möglich, weil die API oder Anwendungsprogrammierschnittstelle von Bumble funktionierte. Stellen Sie sich eine API als die Software vor, die definiert, wie eine App oder eine Gruppe von Apps auf Daten von einem Computer zugreifen kann. In diesem Fall ist der Computer der Bumble-Server, der Benutzerdaten verwaltet. Sarda sagte, die API von Bumble habe nicht die notwendigen Überprüfungen durchgeführt und keine Einschränkungen, die es ihr erlaubten, den Server wiederholt nach Informationen über andere Benutzer zu durchsuchen. Zum Beispiel könnte sie alle Benutzer-ID-Nummern auflisten, indem sie einfach eine zur vorherigen ID hinzufügt. Selbst als sie ausgesperrt war, Sarda konnte weiterhin private Daten von Bumble-Servern zeichnen. All dies geschah mit dem, was sie sagt, war ein „einfaches Skript.“
„Diese Probleme sind relativ einfach auszunutzen, und ausreichende Tests würden sie aus der Produktion entfernen. Ebenso sollte die Behebung dieser Probleme relativ einfach sein, da mögliche Korrekturen die serverseitige Anforderungsverifizierung und Ratenbegrenzung beinhalten „, sagte Sarda, da es so einfach war, Daten über alle Benutzer zu stehlen und möglicherweise eine Überwachung durchzuführen oder die Informationen weiterzuverkaufen, unterstreicht es das vielleicht unangebrachte Vertrauen der Menschen in große Marken und Apps, die über den Apple App Store oder den Google Play Market erhältlich sind, fügte Sarda hinzu. Letzten Endes, das ist ein „großes Problem für alle, die auch nur entfernt über persönliche Informationen und Privatsphäre kümmert.“
Fehler behoben … ein halbes Jahr später
Obwohl es etwa sechs Monate gedauert hat, hat Bumble die Probleme Anfang dieses Monats behoben, und ein Sprecher fügte hinzu: „Bumble hat eine lange Geschichte der Zusammenarbeit mit HackerOne und seinem Bug-Bounty-Programm als Teil unserer gesamten Cybersicherheitspraxis, und dies ist ein weiteres Beispiel für diese Partnerschaft. Nachdem wir auf das Problem aufmerksam gemacht wurden, begannen wir mit dem mehrphasigen Sanierungsprozess, der die Einführung von Kontrollen zum Schutz aller Benutzerdaten während der Implementierung des Updates beinhaltete. Das zugrunde liegende Benutzersicherheitsproblem wurde behoben, und es wurden keine Benutzerdaten kompromittiert.“
Sarda hat die Probleme bereits im März bekannt gegeben. Trotz wiederholter Versuche, seitdem eine Antwort über die Website zur Offenlegung von HackerOne-Sicherheitslücken zu erhalten, Bumble hatte keinen zur Verfügung gestellt, nach Sarda. Bis November 1, Sarda sagte, die Sicherheitslücken seien immer noch in der App vorhanden. Dann, früher in diesem Monat, Bumble begann, die Probleme zu beheben.
Zum Vergleich: Der Bumble-Rivale Hinge arbeitete eng mit dem ISE-Forscher Brendan Ortiz zusammen, als er im Sommer Informationen zu Sicherheitslücken in der Match-eigenen Dating-App zur Verfügung stellte. Laut dem von Ortiz bereitgestellten Zeitplan bot das Unternehmen sogar an, den Sicherheitsteams Zugang zu gewähren, die mit dem Schließen von Löchern in der Software beauftragt waren. Die Probleme wurden in weniger als einem Monat behoben.Holen Sie sich das Beste von Forbes in Ihren Posteingang mit den neuesten Erkenntnissen von Experten auf der ganzen Welt. Folgen Sie mir auf Twitter. Schauen Sie sich meine Website an. Senden Sie mir einen sicheren Tipp.