Les Vulnérabilités De Bumble Mettent En Danger Les Goûts, Les Emplacements Et Les Photos De 95 Millions De Daters Sur Facebook

Les pirates éthiques exposent les faiblesses de L'application De rencontres Bumble.

des pirates informatiques pour saisir rapidement une quantité massive de données sur les utilisateurs des applications de rencontres. (Photo par Alexander Pohl /NurPhoto via Getty Images)

NurPhoto via Getty Images

Bumble est fière d’être l’une des applications de rencontres les plus éthiques. Mais en fait-il assez pour protéger les données privées de ses 95 millions d’utilisateurs? À certains égards, pas tellement, selon les recherches montrées à Forbes avant sa sortie publique.

Les chercheurs des Évaluateurs de sécurité indépendants basés à San Diego ont découvert que même s’ils avaient été bannis du service, ils pouvaient acquérir une mine d’informations sur les dateurs utilisant Bumble. Avant que les défauts ne soient corrigés plus tôt ce mois-ci, après avoir été ouverts pendant au moins 200 jours depuis que les chercheurs ont alerté Bumble, ils pouvaient acquérir l’identité de chaque utilisateur de Bumble. Si un compte était connecté à Facebook, il était possible de récupérer tous leurs « centres d’intérêt » ou pages qu’ils ont aimées. Un pirate pourrait également acquérir des informations sur le type exact de personne qu’un utilisateur de Bumble recherche et sur toutes les photos qu’il a téléchargées sur l’application.

Peut-être le plus inquiétant, s’il était basé dans la même ville que le pirate, il était possible d’obtenir l’emplacement approximatif d’un utilisateur en regardant sa « distance en miles. »Un attaquant pourrait alors usurper les emplacements d’une poignée de comptes, puis utiliser les mathématiques pour essayer de trianguler les coordonnées d’une cible.

« C’est trivial lorsqu’on cible un utilisateur spécifique », a déclaré Sanjana Sarda, analyste en sécurité à I, qui a découvert les problèmes. Pour les pirates économes, il était également « trivial » d’accéder gratuitement à des fonctionnalités premium telles que des votes illimités et un filtrage avancé, a ajouté Sarda.

Tout cela était possible grâce au fonctionnement de l’API ou de l’interface de programmation d’applications de Bumble. Considérez une API comme le logiciel qui définit comment une application ou un ensemble d’applications peut accéder aux données d’un ordinateur. Dans ce cas, l’ordinateur est le serveur Bumble qui gère les données utilisateur.

Sarda a déclaré que l’API de Bumble n’avait pas fait les vérifications nécessaires et n’avait pas de limites lui permettant de sonder à plusieurs reprises le serveur pour obtenir des informations sur d’autres utilisateurs. Par exemple, elle pourrait énumérer tous les numéros d’ID utilisateur en ajoutant simplement un à l’ID précédent. Même quand elle était en lock-out, Sarda a pu continuer à tirer ce qui aurait dû être des données privées des serveurs de Bumble. Tout cela a été fait avec ce qu’elle dit être un « script simple. »

 » Ces problèmes sont relativement simples à exploiter, et des tests suffisants les élimineraient de la production. De même, la résolution de ces problèmes devrait être relativement facile car les correctifs potentiels impliquent la vérification des demandes côté serveur et la limitation du débit « , a déclaré Sarda

Comme il était si facile de voler des données sur tous les utilisateurs et potentiellement d’effectuer une surveillance ou de revendre les informations, cela met en évidence la confiance peut-être mal placée des gens dans les grandes marques et applications disponibles via l’App Store d’Apple ou le Play market de Google, a ajouté Sarda. En fin de compte, c’est un « énorme problème pour tous ceux qui se soucient même à distance des informations personnelles et de la confidentialité. »

Défauts corrigés halfune demi-année plus tard

Bien qu’il ait fallu environ six mois, Bumble a résolu les problèmes plus tôt ce mois-ci, un porte-parole ajoutant: « Bumble a une longue histoire de collaboration avec HackerOne et son programme bug bounty dans le cadre de notre pratique globale de cybersécurité, et c’est un autre exemple de ce partenariat. Après avoir été alerté du problème, nous avons ensuite commencé le processus de correction en plusieurs phases qui comprenait la mise en place de contrôles pour protéger toutes les données des utilisateurs pendant la mise en œuvre du correctif. Le problème lié à la sécurité de l’utilisateur sous-jacent a été résolu et aucune donnée utilisateur n’a été compromise. »

Sarda a révélé les problèmes en mars. Malgré des tentatives répétées pour obtenir une réponse sur le site de divulgation de la vulnérabilité HackerOne depuis lors, Bumble n’en avait pas fourni, selon Sarda. En novembre 1, Sarda a déclaré que les vulnérabilités résidaient toujours sur l’application. Puis, plus tôt ce mois-ci, Bumble a commencé à résoudre les problèmes.

À titre de comparaison, le rival de Bumble Hinge a travaillé en étroite collaboration avec le chercheur de l’SE Brendan Ortiz lorsqu’il a fourni des informations sur les vulnérabilités de l’application de rencontres appartenant à Match au cours de l’été. Selon le calendrier fourni par Ortiz, la société a même proposé de donner accès aux équipes de sécurité chargées de boucher les trous dans le logiciel. Les problèmes ont été résolus en moins d’un mois.

Obtenez le meilleur de Forbes dans votre boîte de réception avec les dernières informations d’experts du monde entier.

Suivez-moi sur Twitter. Consultez mon site Web. Envoyez-moi un pourboire sécurisé.

Chargement…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.