Bumble ylpeilee olevansa yksi eettisemmistä deittisovelluksista. Mutta tekeekö se tarpeeksi suojellakseen 95 miljoonan käyttäjänsä yksityisiä tietoja? Jollain tavalla ei niinkään, Forbesille ennen julkaisuaan esitetyn tutkimuksen mukaan.

San Diegossa toimivan riippumattoman tietoturva-arvioijan tutkijat havaitsivat, että vaikka heidät olisi kielletty palvelusta, he voisivat hankkia runsaasti tietoa bumblen avulla toimivista datereista. Ennen puutteita korjataan aiemmin tässä kuussa, joka on ollut auki vähintään 200 päivää, koska tutkijat hälytti Bumble, he voisivat hankkia identiteetit jokaisen Bumble käyttäjä. Jos tili oli liitetty Facebookiin, oli mahdollista hakea kaikki heidän” kiinnostuksensa ” tai sivut, joista he ovat pitäneet. Hakkeri voisi myös hankkia tietoa siitä, millaista henkilöä Kimalaiskäyttäjä etsii ja kaikkia sovellukseen lataamiaan kuvia.

ehkä huolestuttavinta oli, jos se sijaitsi samassa kaupungissa hakkerin kanssa, oli mahdollista saada käyttäjän karkea sijainti tarkastelemalla heidän ”etäisyyttään kilometreinä.”Hyökkääjä voisi sitten väärentää paikkoja kourallinen tilejä ja sitten käyttää matematiikkaa yrittää triangulate kohteen koordinaatit.

”Tämä on triviaalia, kun kohteena on tietty käyttäjä”, sanoi ISE: n tietoturva-analyytikko Sanjana Sarda, joka havaitsi ongelmat. Thrifty-hakkereille oli myös ”triviaalia” päästä käsiksi premium-ominaisuuksiin, kuten rajattomiin ääniin ja edistyneeseen suodatukseen ilmaiseksi, Sarda lisäsi.

Tämä kaikki oli mahdollista Bumblen API-tai sovellusrajapinnan toimintatavan vuoksi. Ajattele API: a ohjelmistona, joka määrittelee, miten sovellus tai joukko sovelluksia voi käyttää tietoja tietokoneesta. Tällöin tietokone on Bumble-palvelin, joka hallinnoi käyttäjätietoja.

Sarda sanoi, että Bumblen API ei tehnyt tarvittavia tarkastuksia eikä sillä ollut rajoja, joiden perusteella hän olisi voinut toistuvasti luotailla palvelimelta tietoja muista käyttäjistä. Esimerkiksi, hän voisi luetella kaikki käyttäjätunnukset yksinkertaisesti lisäämällä yksi edelliseen ID. Vaikka hänet lukittiin ulos, Sarda pystyi jatkamaan sen piirtämistä, mitä olisi pitänyt olla yksityisiä tietoja Bumblen palvelimilta. Kaikki tämä tehtiin, mitä hän sanoo oli ” yksinkertainen käsikirjoitus.”

”näitä asioita on suhteellisen helppo hyödyntää, ja riittävä testaus poistaisi ne tuotannosta. Samoin näiden ongelmien korjaamisen pitäisi olla suhteellisen helppoa, koska mahdolliset korjaukset liittyvät palvelinpuolen pyyntöjen tarkistamiseen ja hinnan rajoittamiseen”, Sarda sanoi

koska se oli niin helppo varastaa tietoja kaikista käyttäjistä ja mahdollisesti suorittaa valvontaa tai myydä tietoja, se korostaa ehkä väärin kohdistettua luottamusta ihmisillä on suuriin tuotemerkkeihin ja sovelluksiin, jotka ovat saatavilla Applen App Storen tai Googlen Play-markkinoiden kautta, Sarda lisäsi. Lopulta, se on ” valtava asia kaikille, jotka välittävät edes etäisesti henkilökohtaisia tietoja ja yksityisyyttä.”

viat korjattu… puoli vuotta myöhemmin

vaikka se kesti noin puoli vuotta, Bumble korjasi ongelmat aiemmin tässä kuussa, tiedottajan lisätessä: ”Bumble on tehnyt pitkään yhteistyötä Hackeronen ja sen bug bounty-ohjelman kanssa osana yleistä kyberturvallisuuskäytäntöämme, ja tämä on toinen esimerkki tästä kumppanuudesta. Saatuaan hälytyksen asiasta aloitimme monivaiheisen Korjaamisprosessin, joka sisälsi säätöjen asettamisen kaikkien käyttäjätietojen suojaamiseksi, kun korjaus toteutettiin. Taustalla oleva käyttäjäturvallisuuteen liittyvä ongelma on ratkaistu, eikä käyttäjätietoja ole vaarantunut.”

Sarda paljasti ongelmat jo maaliskuussa. Huolimatta toistuvista yrityksistä saada vastaus yli HackerOne haavoittuvuuden paljastaminen verkkosivuilla sittemmin, Bumble ei ollut antanut yksi, mukaan Sarda. Marraskuun 1. päivään mennessä Sarda sanoi haavoittuvuuksien olevan yhä sovelluksessa. Aiemmin tässä kuussa Bumble alkoi korjata ongelmia.

Karuna vertailuna Bumble-kilpailija Hinge teki tiivistä yhteistyötä ISE: n tutkijan Brendan Ortizin kanssa, kun tämä antoi kesällä tietoa haavoittuvuuksista Match-omistamalleen deittisovellukselle. Ortizin toimittaman aikajanan mukaan yhtiö jopa tarjoutui tarjoamaan pääsyn tietoturvaryhmille, joiden tehtävänä oli tukkia ohjelmiston aukkoja. Ongelmat saatiin korjattua alle kuukaudessa.

Seuraa minua Twitterissä. Katso nettisivuiltani. Lähettäkää vihje.