hackerek, hogy gyorsan megragad egy hatalmas mennyiségű adat a társkereső alkalmazások felhasználói. (Fotó: Alexander Pohl / NurPhoto a Getty Images-en keresztül)

NurPhoto a Getty Images-en keresztül

a Bumble büszke arra, hogy az egyik etikusabb gondolkodású társkereső alkalmazás. De vajon eleget tesz-e a 95 millió felhasználó személyes adatainak védelme érdekében? Bizonyos szempontból, nem annyira, a Forbes-nak a nyilvános megjelenése előtt bemutatott kutatások szerint.

a San Diego-i székhelyű független biztonsági értékelők kutatói felfedezték, hogy még akkor is, ha kitiltották őket a Szolgáltatásból, rengeteg információt szerezhetnek a Daterekről a Bumble használatával. Mielőtt a hibákat a hónap elején kijavították volna, mivel a kutatók legalább 200 napig nyitva voltak, mióta a Bumble-t riasztották, megszerezhetik minden Bumble felhasználó személyazonosságát. Ha egy fiókot csatlakoztattak a Facebook-hoz, lehetséges volt az összes “érdeklődési körük” vagy az általuk kedvelt oldalak lekérése. A hacker információt szerezhet arról is, hogy a Bumble felhasználó pontosan milyen embert keres, valamint az összes képet, amelyet feltöltöttek az alkalmazásba.

talán a legaggasztóbb, ha székhelye ugyanabban a városban, mint a hacker, lehetséges volt, hogy a felhasználó durva helyét nézi a “távolság mérföld.”A támadó ezután meghamisíthatja egy maroknyi fiók helyét, majd matematikával megpróbálhatja háromszögelni a célpont koordinátáit.

“ez triviális, ha egy adott felhasználót céloz meg” – mondta Sanjana Sarda, az ISE biztonsági elemzője, aki felfedezte a problémákat. A takarékos hackerek számára az is” triviális ” volt, hogy olyan prémium funkciókat érjenek el, mint a korlátlan szavazatok és a Fejlett szűrés ingyen, tette hozzá Sarda.

mindez azért volt lehetséges, mert a Bumble API vagy alkalmazásprogramozási felülete működött. Gondoljon egy API-ra, mint olyan szoftverre, amely meghatározza, hogy egy alkalmazás vagy alkalmazáskészlet hogyan férhet hozzá az adatokhoz a számítógépről. Ebben az esetben a számítógép a Bumble szerver, amely kezeli a felhasználói adatokat.

Sarda elmondta, hogy a Bumble API-ja nem végezte el a szükséges ellenőrzéseket, és nem rendelkezett olyan korlátozásokkal, amelyek lehetővé tették számára, hogy ismételten megvizsgálja a szervert más felhasználókkal kapcsolatos információk után. Például felsorolhatja az összes felhasználói azonosító számot, ha egyszerűen hozzáad egyet az előző azonosítóhoz. Még akkor is, amikor kizárták, Sarda folytathatta a személyes adatok rajzolását a Bumble szerverekről. Mindezt azzal tették, amit mond, egy ” egyszerű forgatókönyv.”

“ezeket a problémákat viszonylag egyszerű kihasználni, és a megfelelő tesztelés eltávolítaná őket a termelésből. Hasonlóképpen, ezeknek a problémáknak a kijavítása viszonylag egyszerűnek kell lennie, mivel a lehetséges javítások magukban foglalják a szerveroldali kérések ellenőrzését és a sebességkorlátozást”-mondta sarda. ” mivel olyan könnyű volt ellopni az összes felhasználó adatait, és potenciálisan felügyelni vagy viszonteladni az információkat, rávilágít arra, hogy az emberek talán rosszul bíznak a nagy márkákban és alkalmazásokban, amelyek az Apple App Store-ban vagy a Google Play Marketen keresztül érhetők el. Végső soron ez egy ” hatalmas kérdés mindenki számára, aki távolról is törődik a személyes adatokkal és a magánéletével.”

hibák kijavítva… fél évvel később

bár körülbelül hat hónapba telt, a Bumble a hónap elején kijavította a problémákat, a szóvivő hozzátette: “a Bumble régóta együttműködik a HackerOne-nal és annak bug bounty programjával az Általános kiberbiztonsági gyakorlatunk részeként, és ez egy másik példa erre a partnerségre. Miután figyelmeztettük a problémát, megkezdtük a többfázisú helyreállítási folyamatot, amely magában foglalta az összes felhasználói adat védelmét szolgáló vezérlők bevezetését a javítás végrehajtása közben. Az alapul szolgáló felhasználói biztonsággal kapcsolatos probléma megoldódott, és nem került veszélybe a felhasználói adatok.”

Sarda márciusban nyilvánosságra hozta a problémákat. Annak ellenére, hogy azóta többször megpróbáltak választ kapni a HackerOne sebezhetőség-közzétételi webhelyén, Bumble nem nyújtott egyet, Sarda szerint. Novemberre 1, Sarda szerint a sebezhetőségek továbbra is az alkalmazásban laknak. Azután, korábban, ebben a hónapban, Bumble megkezdte a problémák megoldását.

éles összehasonlításként a Bumble rival Hinge szorosan együttműködött az ISE kutatójával, Brendan Ortiz-szal, amikor információkat szolgáltatott a Match tulajdonában lévő társkereső alkalmazás sebezhetőségéről a nyár folyamán. Az Ortiz által biztosított idővonal szerint a vállalat még azt is felajánlotta, hogy hozzáférést biztosít a biztonsági csapatokhoz, amelyek feladata a szoftver lyukainak bedugása. A problémákat egy hónap alatt megoldották.

Kövess engem a Twitteren. Nézze meg a honlapomat. Küldj egy biztonságos tippet.