Bumble si vanta di essere una delle applicazioni di incontri più eticamente mentalità. Ma sta facendo abbastanza per proteggere i dati privati dei suoi 95 milioni di utenti? In qualche modo, non tanto, secondo la ricerca mostrata a Forbes in vista della sua uscita pubblica.
I ricercatori dei valutatori di sicurezza indipendenti con sede a San Diego hanno scoperto che anche se fossero stati banditi dal servizio, potevano acquisire una grande quantità di informazioni sui datari utilizzando Bumble. Prima che i difetti vengano risolti all’inizio di questo mese, essendo stati aperti per almeno 200 giorni da quando i ricercatori hanno allertato Bumble, potevano acquisire le identità di ogni utente di Bumble. Se un account è stato collegato a Facebook, è stato possibile recuperare tutti i loro “interessi” o le pagine che hanno voluto. Un hacker potrebbe anche acquisire informazioni sul tipo esatto di persona che un utente Bumble sta cercando e tutte le immagini che hanno caricato sull’app.
Forse la cosa più preoccupante, se basata nella stessa città dell’hacker, era possibile ottenere la posizione approssimativa di un utente guardando la loro “distanza in miglia.”Un utente malintenzionato potrebbe quindi falsificare le posizioni di una manciata di account e quindi utilizzare la matematica per cercare di triangolare le coordinate di un bersaglio.
“Questo è banale quando si prende di mira un utente specifico”, ha detto Sanjana Sarda, analista di sicurezza di ISE, che ha scoperto i problemi. Per gli hacker parsimoniosi, è stato anche “banale” accedere a funzionalità premium come voti illimitati e filtri avanzati gratuitamente, ha aggiunto Sarda.
Tutto ciò era possibile a causa del modo in cui l’API di Bumble o l’interfaccia di programmazione delle applicazioni funzionavano. Pensa a un’API come al software che definisce come un’app o un insieme di app possono accedere ai dati da un computer. In questo caso il computer è il server Bumble che gestisce i dati utente.
Sarda ha detto che l’API di Bumble non ha fatto i controlli necessari e non ha limiti che le hanno permesso di sondare ripetutamente il server per informazioni su altri utenti. Ad esempio, potrebbe enumerare tutti i numeri ID utente semplicemente aggiungendone uno all’ID precedente. Anche quando è stata bloccata, Sarda è stata in grado di continuare a disegnare quelli che avrebbero dovuto essere dati privati dai server Bumble. Tutto questo è stato fatto con quello che lei dice era un ” semplice script.”
” Questi problemi sono relativamente semplici da sfruttare e test sufficienti li rimuoverebbero dalla produzione. Allo stesso modo, risolvere questi problemi dovrebbe essere relativamente facile in quanto le potenziali correzioni implicano la verifica delle richieste lato server e la limitazione dei tassi”, ha detto Sarda
Poiché era così facile rubare dati su tutti gli utenti e potenzialmente eseguire la sorveglianza o rivendere le informazioni, evidenzia la fiducia forse mal riposta che le persone hanno nei grandi marchi e nelle app disponibili attraverso l’App Store In definitiva, questo è un ” problema enorme per tutti coloro che si preoccupano anche lontanamente delle informazioni personali e della privacy.”
Difetti risolti half un anno e mezzo dopo
Anche se ci sono voluti circa sei mesi, Bumble risolto i problemi all’inizio di questo mese, con un portavoce aggiungendo: “Bumble ha avuto una lunga storia di collaborazione con HackerOne e il suo programma bug bounty come parte della nostra pratica complessiva di sicurezza informatica, e questo è un altro esempio Dopo essere stati avvisati del problema, abbiamo iniziato il processo di correzione multifase che includeva l’installazione di controlli per proteggere tutti i dati degli utenti mentre la correzione veniva implementata. Il problema relativo alla sicurezza dell’utente sottostante è stato risolto e non sono stati compromessi i dati dell’utente.”
Sarda ha rivelato i problemi a marzo. Nonostante i ripetuti tentativi di ottenere una risposta sul sito web di divulgazione delle vulnerabilità HackerOne da allora, Bumble non ne aveva fornito uno, secondo Sarda. Entro novembre 1, Sarda ha detto che le vulnerabilità erano ancora residenti sul app. Poi, all’inizio di questo mese, Bumble ha iniziato a risolvere i problemi.
Come un confronto netto, Bumble rivale Cerniera ha lavorato a stretto contatto con ISE ricercatore Brendan Ortiz quando ha fornito informazioni sulle vulnerabilità alla Partita di proprietà incontri app durante l ” estate. Secondo la timeline fornita da Ortiz, la società ha persino offerto di fornire l’accesso ai team di sicurezza incaricati di collegare i buchi nel software. I problemi sono stati affrontati in meno di un mese.
Seguimi su Twitter. Controlla il mio sito web. Mandami una mancia sicura.