Bumble Sårbarheter Sette Facebook Liker, Steder Og Bilder Av 95 Millioner Daters I Fare

admin
Etiske hackere utsette bumble dating app svakheter.

hackere å raskt ta en massiv mengde data på dating apps brukere. (Bilde Av Alexander Pohl/NurPhoto via Getty Images)

NurPhoto Via Getty Images

Bumble stolt av å være en av de mer etisk tenkende dating apps. Men gjør det nok for å beskytte de private dataene til sine 95 millioner brukere? På noen måter, ikke så mye, ifølge forskning vist Til Forbes i forkant av sin offentlige utgivelse.Forskere ved San Diego-baserte Independent Security Evaluators oppdaget at selv om de hadde blitt utestengt fra tjenesten, kunne de skaffe seg et vell av informasjon om daters ved Hjelp Av Bumble. Før feilene ble løst tidligere denne måneden, etter å ha vært åpen i minst 200 dager siden forskerne varslet Bumble, kunne de skaffe identiteten til Hver Bumble-bruker. Hvis en konto var koblet Til Facebook, var Det mulig å hente alle sine «interesser» eller sider de har likt. En hacker kan også få informasjon om nøyaktig hva slags person En bumble brukeren er ute etter, og alle bildene de lastet opp til app.

kanskje mest bekymringsfullt, hvis basert i samme by som hacker, var det mulig å få en brukers grov plassering ved å se på deres » avstand i miles.»En angriper kan da forfalske steder av en håndfull kontoer og deretter bruke matte for å prøve å triangulere et måls koordinater. «Dette er trivielt når du målretter mot en bestemt bruker,» Sa Sanjana Sarda, en sikkerhetsanalytiker hos ISE, som oppdaget problemene. For sparsommelige hackere var det også «trivielt» å få tilgang til premiumfunksjoner som ubegrensede stemmer og avansert filtrering gratis, La Sarda til.

Dette var alt mulig på grunn av Måten Bumble API eller applikasjonsprogrammeringsgrensesnitt fungerte. TENK PÅ EN API som programvaren som definerer hvordan en app eller et sett med apper kan få tilgang til data fra en datamaskin. I dette tilfellet datamaskinen Er bumble server som administrerer brukerdata. Sarda sa At Bumbles API ikke gjorde de nødvendige kontrollene og ikke hadde grenser som tillot henne å gjentatte ganger undersøke serveren for informasjon om andre brukere. For eksempel, hun kunne nummerere alle bruker-ID-numre ved å legge en til forrige ID. Selv da Hun var låst ute, Sarda var i stand til å fortsette å tegne hva som burde vært private data Fra bumble servere. Alt dette ble gjort med det hun sier var et » enkelt skript.»

» disse problemene er relativt enkle å utnytte, og tilstrekkelig testing vil fjerne dem fra produksjonen. På samme måte bør det være relativt enkelt å fikse disse problemene, da potensielle reparasjoner involverer verifisering av server-side-forespørsel og hastighetsbegrensning,» Sa Sarda som det var så lett å stjele data om alle brukere og potensielt utføre overvåking eller videreselge informasjonen, fremhever Den kanskje feilplasserte tilliten folk har i store merker og apper som er tilgjengelige gjennom Apple App Store Eller Googles Play market. Til slutt er det et » stort problem for alle som bryr seg selv eksternt om personlig informasjon og personvern.»

Feil løst … et halvt år senere

Selv Om Det tok noen seks måneder, løste Bumble problemene tidligere denne måneden, med en talsmann som la til: «Bumble har hatt en lang historie med samarbeid Med HackerOne og dets bug bounty-program som en del av vår generelle cybersikkerhetspraksis, og dette er et annet eksempel på det partnerskapet. Etter å ha blitt varslet om problemet, begynte vi deretter flerfaseprosessen som inkluderte å sette kontroller på plass for å beskytte alle brukerdata mens reparasjonen ble implementert. Det underliggende problemet med brukersikkerhet er løst, og det var ingen brukerdata kompromittert.»

Sarda avslørte problemene tilbake I Mars. Til tross for gjentatte forsøk på å få et svar over HackerOne sårbarhet avsløring nettstedet siden da, Bumble hadde ikke gitt en, ifølge Sarda. Innen 1. November Sa Sarda at sårbarhetene fortsatt var bosatt på appen. Deretter, tidligere denne måneden, Bumble begynte å fikse problemene.Som en sterk sammenligning, bumble rival Hengsle jobbet tett med Ise forsker Brendan Ortiz da han ga informasjon om sårbarheter Til Match-eide dating app over sommeren. Ifølge tidslinjen fra Ortiz tilbød selskapet selv å gi tilgang til sikkerhetsteamene som hadde til oppgave å plugge hull i programvaren. Problemene ble løst på under en måned.

Få Det Beste Fra Forbes til innboksen din med den nyeste innsikten fra eksperter over hele verden.

Følg Meg På Twitter. Sjekk ut min hjemmeside. Send meg et sikkert tips.

Laster …

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.