Bumble se enorgullece de ser una de las aplicaciones de citas más éticas. Pero, ¿está haciendo lo suficiente para proteger los datos privados de sus 95 millones de usuarios? De alguna manera, no tanto, según la investigación mostrada a Forbes antes de su lanzamiento público.
Los investigadores de los Evaluadores de Seguridad Independientes con sede en San Diego descubrieron que incluso si les habían prohibido el servicio, podrían adquirir una gran cantidad de información sobre personas que se citan usando Bumble. Antes de que se corrigieran los defectos a principios de este mes, habiendo estado abiertos por al menos 200 días desde que los investigadores alertaron a Bumble, podían adquirir las identidades de cada usuario de Bumble. Si una cuenta estaba conectada a Facebook, era posible recuperar todos sus «intereses» o las páginas que le han gustado. Un hacker también podría adquirir información sobre el tipo exacto de persona que busca un usuario de Bumble y todas las fotos que subió a la aplicación.
Quizás lo más preocupante es que, si se encuentra en la misma ciudad que el hacker, era posible obtener la ubicación aproximada de un usuario mirando su «distancia en millas».»Un atacante podría entonces falsificar ubicaciones de un puñado de cuentas y luego usar matemáticas para tratar de triangular las coordenadas de un objetivo.
«Esto es trivial cuando se dirige a un usuario específico», dijo Sanjana Sarda, analista de seguridad de ISE, quien descubrió los problemas. Para los hackers ahorrativos, también era «trivial» acceder a funciones premium como votos ilimitados y filtrado avanzado de forma gratuita, agregó Sarda.
Todo esto fue posible debido a la forma en que funcionaba la API o la interfaz de programación de aplicaciones de Bumble. Piense en una API como el software que define cómo una aplicación o un conjunto de aplicaciones pueden acceder a los datos desde un equipo. En este caso, la computadora es el servidor Bumble que administra los datos del usuario.
Sarda dijo que la API de Bumble no hacía las comprobaciones necesarias y no tenía límites que le permitieran sondear repetidamente el servidor en busca de información sobre otros usuarios. Por ejemplo, podría enumerar todos los números de ID de usuario simplemente agregando uno al ID anterior. Incluso cuando estaba bloqueada, Sarda pudo seguir dibujando lo que deberían haber sido datos privados de los servidores de Bumble. Todo esto se hizo con lo que ella dice que era un «guión simple».»
» Estos problemas son relativamente fáciles de explotar, y pruebas suficientes los eliminarían de la producción. Del mismo modo, solucionar estos problemas debería ser relativamente fácil, ya que las posibles soluciones implican la verificación de solicitudes en el lado del servidor y la limitación de la velocidad», dijo Sarda
Ya que era tan fácil robar datos de todos los usuarios y potencialmente realizar vigilancia o revender la información, resalta la confianza quizás fuera de lugar que las personas tienen en las grandes marcas y aplicaciones disponibles a través de la tienda de aplicaciones de Apple o el mercado de juego de Google, agregó Sarda. En última instancia, ese es un «gran problema para todos los que se preocupan, incluso remotamente, por la información personal y la privacidad.»
Defectos corregidos half medio año después
Aunque tomó unos seis meses, Bumble solucionó los problemas a principios de este mes, con un portavoz que agregó: «Bumble ha tenido una larga historia de colaboración con HackerOne y su programa de recompensas por errores como parte de nuestra práctica general de seguridad cibernética, y este es otro ejemplo de esa asociación. Después de recibir una alerta sobre el problema, comenzamos el proceso de corrección de múltiples fases que incluyó la implementación de controles para proteger todos los datos del usuario mientras se implementaba la corrección. El problema subyacente relacionado con la seguridad del usuario se ha resuelto y no se han puesto en peligro los datos del usuario.»
Sarda reveló los problemas en marzo. A pesar de los repetidos intentos de obtener una respuesta sobre el sitio web de divulgación de vulnerabilidades HackerOne desde entonces, Bumble no había proporcionado una, según Sarda. Para el 1 de noviembre, Sarda dijo que las vulnerabilidades aún residían en la aplicación. Luego, a principios de este mes, Bumble comenzó a solucionar los problemas.
Como comparación, Bumble rival Hinge trabajó en estrecha colaboración con el investigador de ISE Brendan Ortiz cuando proporcionó información sobre vulnerabilidades a la aplicación de citas propiedad de Match durante el verano. De acuerdo con el cronograma proporcionado por Ortiz, la compañía incluso ofreció proporcionar acceso a los equipos de seguridad encargados de tapar los agujeros en el software. Los problemas se abordaron en menos de un mes.
Sígueme en Twitter. Echa un vistazo a mi sitio web. Envíame una pista segura. Carga