Bumble kwetsbaarheden zetten Facebook Likes, locaties en foto ‘ s van 95 miljoen daters in gevaar

admin
ethische hackers bloot Bumble dating app zwakheden.

hackers om snel een enorme hoeveelheid gegevens over de gebruikers van de dating apps te grijpen. (Foto door Alexander Pohl/NurPhoto via Getty Images)

nurphoto via Getty Images

Bumble is er trots op een van de meer ethisch-minded dating apps te zijn. Maar doet het genoeg om de persoonlijke gegevens van zijn 95 miljoen gebruikers te beschermen? In sommige opzichten, niet zo veel, volgens onderzoek getoond aan Forbes voorafgaand aan de publieke release.

onderzoekers van de Independent Security Evaluators in San Diego ontdekten dat zelfs als ze uit de dienst waren verbannen, ze een schat aan informatie konden verzamelen over daters die Bumble gebruiken. Voorafgaand aan de gebreken worden vastgesteld eerder deze maand, te zijn geopend voor ten minste 200 dagen sinds de onderzoekers gewaarschuwd Bumble, ze konden de identiteiten van elke Bumble gebruiker te verwerven. Als een account was verbonden met Facebook, was het mogelijk om al hun “interesses” of pagina ‘ s die ze leuk vonden op te halen. Een hacker kan ook informatie verwerven over de exacte soort persoon een Bumble gebruiker is op zoek naar en alle foto ‘ s die ze geüpload naar de app.

misschien wel het meest verontrustende, indien gevestigd in dezelfde stad als de hacker, was het mogelijk om de ruwe locatie van een gebruiker te krijgen door te kijken naar hun “Afstand in mijlen.”Een aanvaller kan dan spoof locaties van een handvol accounts en vervolgens wiskunde gebruiken om te proberen om de coördinaten van een doel te trianguleren.

” Dit is triviaal wanneer het gericht is op een specifieke gebruiker, ” zei Sanjana Sarda, een security analist bij ISE, die de problemen ontdekte. Voor zuinige hackers, het was ook “triviaal” toegang tot premium functies zoals Onbeperkt stemmen en geavanceerde filtering voor gratis, Sarda toegevoegd.

Dit was allemaal mogelijk vanwege de manier waarop Bumble ‘ s API of application programming interface werkte. Zie een API als de software die bepaalt hoe een app of set apps toegang heeft tot gegevens vanaf een computer. In dit geval is de computer de Bumble server die gebruikersgegevens beheert.

Sarda zei dat Bumble ‘ s API niet de nodige controles deed en geen limieten had die haar in staat stelden om herhaaldelijk de server te doorzoeken naar informatie over andere gebruikers. Bijvoorbeeld, ze kon alle gebruikers-ID nummers opsommen door er gewoon een toe te voegen aan de vorige ID. Zelfs toen ze buitengesloten was, kon Sarda doorgaan met het tekenen van wat privé-data had moeten zijn van Bumble servers. Dit alles werd gedaan met wat ze zegt was een ” eenvoudig script.”

” deze problemen zijn relatief eenvoudig te exploiteren, en voldoende testen zou ze uit de productie verwijderen. Ook de vaststelling van deze problemen moet relatief eenvoudig zijn als potentiële oplossingen te betrekken server-side verzoek verificatie en tarief-limiting, ” Sarda zei

omdat het zo gemakkelijk was om gegevens te stelen op alle gebruikers en mogelijk uit te voeren surveillance of de informatie door te verkopen, benadrukt het misschien misplaatste vertrouwen mensen hebben in grote merken en apps beschikbaar via de Apple App Store of Google Play market, Sarda toegevoegd. Uiteindelijk, dat is een ” groot probleem voor iedereen die geeft zelfs op afstand over persoonlijke informatie en privacy.”

fouten opgelost … een half jaar later

hoewel het zo ‘ n zes maanden duurde, heeft Bumble de problemen eerder deze maand opgelost, met een woordvoerder toe te voegen: “Bumble heeft een lange geschiedenis van samenwerking met HackerOne en zijn bug bounty programma als onderdeel van onze algehele cyber security praktijk, en dit is een ander voorbeeld van dat partnerschap. Nadat we op de hoogte waren gesteld van het probleem, begonnen we met het meerfasenherstelproces, waaronder het instellen van controles om alle gebruikersgegevens te beschermen terwijl de oplossing werd geïmplementeerd. De onderliggende gebruiker veiligheid gerelateerde probleem is opgelost en er was geen gebruikersgegevens gecompromitteerd.”

Sarda onthulde de problemen in Maart. Ondanks herhaalde pogingen om een reactie te krijgen over de HackerOne kwetsbaarheid openbaarmaking website sindsdien, Bumble had niet voorzien van een, volgens Sarda. Door November 1, Sarda zei dat de kwetsbaarheden waren nog steeds woonachtig op de app. Dan, eerder deze maand, Bumble begon het oplossen van de problemen.als een grimmige vergelijking, Bumble rival Hinge werkte nauw samen met ISE onderzoeker Brendan Ortiz toen hij informatie over kwetsbaarheden aan de Match-owned dating app in de zomer. Volgens de tijdlijn die door Ortiz, het bedrijf zelfs aangeboden om toegang te bieden tot de beveiligingsteams belast met plugging gaten in de software. De problemen werden in minder dan een maand opgelost.

haal het beste van Forbes naar uw inbox met de nieuwste inzichten van experts over de hele wereld.

Volg mij op Twitter. Kijk op mijn website. Stuur me een veilige tip.

Laden …

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.