バンブルの脆弱性は、Facebookのいいね、場所や危険にさらされて95万人のデートをする人の写真を置きます

admin
倫理的なハッカーは、バンブルの出会い系アプリの弱点を公開します。

ハッカーはすぐに出会い系アプリのユーザーに大量のデータを取得します。 (写真:Alexander Pohl/Nurphoto Via Getty Images)

Nurphoto via Getty Images

バンブルは、より倫理的な出会い系アプリの一つであることに誇りを持っています。 しかし、それはその95万人のユーザーの個人データを保護するのに十分なことですか? いくつかの点では、それほど多くはないが、Forbesに公開される前に示された研究によると。

サンディエゴに拠点を置く独立したセキュリティ評価者の研究者は、たとえ彼らがサービスから禁止されていたとしても、Bumbleを使用してデート 今月初めに欠陥が修正される前に、研究者がBumbleに警告してから少なくとも200日間開いていたため、すべてのBumbleユーザーの身元を取得することができました。 アカウントがFacebookに接続されていた場合、彼らの”興味”や好きなページをすべて取得することができました。 ハッカーはまた、Bumbleユーザーが探している人の正確な種類と、彼らがアプリにアップロードしたすべての写真に関する情報を取得することができます。

おそらく最も心配なことに、ハッカーと同じ都市に拠点を置くと、”マイル単位の距離”を見ることでユーザーの大まかな場所を取得することができました。”攻撃者は、少数のアカウントの場所を偽装し、数学を使用してターゲットの座標を三角測量しようとする可能性があります。 「特定のユーザーをターゲットにする場合、これは簡単です」と、問題を発見したISEのセキュリティアナリスト、Sanjana Sarda氏は述べています。 倹約ハッカーのために、それはまた、無制限の投票や無料で高度なフィルタリングなどのプレミアム機能にアクセスするために”些細な”だった、Sardaが追加

これは、BumbleのAPIまたはアプリケーションプログラミングインターフェイスが機能した方法のためにすべて可能でした。 APIは、アプリまたはアプリのセットがコンピュータからデータにアクセスする方法を定義するソフトウェアと考えてください。 この場合、コンピュータはユーザーデータを管理するBumbleサーバーです。

Sarda氏によると、BumbleのAPIは必要なチェックを行わず、他のユーザーに関する情報をサーバーに繰り返し調査することができる制限がないという。 たとえば、前のIDに1つを追加するだけで、すべてのユーザー ID番号を列挙できます。 彼女がロックアウトされたときでさえ、SardaはBumbleサーバーからのプライベートデータであったはずのものを描き続けることができました。 これはすべて、彼女が言うことで行われました”単純なスクリプトでした。”

“これらの問題は、悪用するのが比較的簡単であり、十分なテストでは、本番環境からそれらを削除します。 同様に、これらの問題を修正することは、サーバー側の要求の検証とレート制限を伴う可能性があるため、比較的簡単でなければなりません”とSardaは述べています

すべてのユーザーのデータを盗み、潜在的に監視を実行したり、情報を転売したりするのは非常に簡単であったため、Apple App StoreやGoogleのPlay marketを通じて利用可能な大きなブランドやアプリで人々が持っているおそらく置き忘れた信頼を強調しているとSardaは付け加えました。 最終的には、それは”個人情報とプライバシーについて遠隔地でも気にするすべての人にとって大きな問題です。”

欠陥が修正されました…半年後

それはいくつかの半年かかりましたが、bumbleは今月初めに問題を修正し、広報担当者は次のように付け加えました。”Bumbleは、サイバーセキュリティの実践全体の一環として、HackerOneとそのバグ報奨金プログラムとのコラボレーションの長い歴史を持っていました。これはそのパートナーシップのもう一つの例です。 この問題について警告を受けた後、修正の実装中にすべてのユーザーデータを保護するためのコントロールを配置するなど、多段階の修正プロセスを開始し 根本的なユーザーセキュリティ関連の問題は解決され、ユーザーデータが侵害されることはありませんでした。”

サルダは月に戻って問題を開示しました。 Sarda氏によると、それ以来、HackerOne vulnerability disclosureのウェブサイト上で何度も応答を得ようとしていたにもかかわらず、Bumbleはそれを提供していなかったという。 11月1日までに、Sardaは脆弱性がまだアプリに常駐していると述べた。 その後、今月初めに、Bumbleは問題を修正し始めました。

厳しい比較として、BumbleのライバルHingeは、ISEの研究者Brendan Orizと緊密に協力し、夏の間にMatch所有の出会い系アプリに脆弱性に関する情報を提供しました。 Ortizが提供したタイムラインによると、同社はソフトウェアに穴を開けることを任務とするセキュリティチームへのアクセスを提供することさえ提 問題は、月の下で対処されました。

世界中の専門家からの最新の洞察をあなたの受信トレイにフォーブスのベストを取得します。Twitterで私に従ってください。

私のウェブサイトをチェックしてくださ 安全な情報を送ってくれ

ロードします。..

コメントを残す

メールアドレスが公開されることはありません。