Bumble szczyci się tym, że jest jedną z bardziej etycznych aplikacji randkowych. Ale czy robi wystarczająco dużo, aby chronić prywatne dane swoich 95 milionów użytkowników? W pewnym sensie, nie tak bardzo, Według badań pokazanych Forbes przed jego publicznym wydaniu.

badacze z niezależnych ekspertów bezpieczeństwa z San Diego odkryli, że nawet gdyby zostali wykluczeni z serwisu, mogliby zdobyć mnóstwo informacji na temat daterów za pomocą Bumble. Zanim usterki zostały naprawione na początku tego miesiąca, były otwarte od co najmniej 200 dni, odkąd naukowcy zaalarmowali Bumble, mogli zdobyć tożsamość każdego użytkownika Bumble. Jeśli konto zostało połączone z Facebookiem, możliwe było odzyskanie wszystkich ich „zainteresowań” lub stron, które polubiły. Haker może również uzyskać informacje o tym, jakiego rodzaju osoby szuka użytkownik Bumble i o wszystkich zdjęciach, które załadował do aplikacji.

być może najbardziej niepokojące, jeśli ma siedzibę w tym samym mieście, co haker, można było uzyskać szorstką lokalizację użytkownika, patrząc na jego ” odległość w milach.”Atakujący może następnie sfałszować lokalizacje kilku kont, a następnie użyć matematyki, aby spróbować triangulować współrzędne celu.

„jest to trywialne, gdy kierujemy się na konkretnego użytkownika”, powiedziała Sanjana Sarda, analityk ds. bezpieczeństwa w ISE, który odkrył problemy. Dla oszczędnych hakerów” trywialny ” był również dostęp do funkcji premium, takich jak nieograniczona liczba głosów i zaawansowane filtrowanie za darmo, dodał Sarda.

wszystko to było możliwe ze względu na sposób działania API Bumble lub interfejsu programowania aplikacji. Pomyśl o API jako o oprogramowaniu, które określa, w jaki sposób aplikacja lub zestaw aplikacji może uzyskać dostęp do danych z komputera. W tym przypadku komputer jest serwerem Bumble, który zarządza danymi użytkownika.

Sarda powiedziała, że API Bumble nie wykonało niezbędnych kontroli i nie miało ograniczeń, które pozwalały jej wielokrotnie badać serwer w poszukiwaniu informacji o innych użytkownikach. Na przykład, mogła wyliczyć wszystkie numery ID użytkownika po prostu dodając jeden do poprzedniego ID. Nawet gdy była zablokowana, Sarda mogła dalej pobierać dane z serwerów Bumble. Wszystko to zostało zrobione za pomocą tego, co mówi, że był to „prosty skrypt.”

” problemy te są stosunkowo proste do wykorzystania, a wystarczające testy usuną je z produkcji. Podobnie, naprawienie tych problemów powinno być stosunkowo łatwe, ponieważ potencjalne poprawki obejmują weryfikację żądań po stronie serwera i ograniczanie szybkości”, powiedziała Sarda

ponieważ tak łatwo było ukraść dane wszystkich użytkowników i potencjalnie przeprowadzić Nadzór lub odsprzedać informacje, podkreśla to być może zagubione zaufanie ludzi do dużych marek i aplikacji dostępnych za pośrednictwem Apple App Store lub Google Play market, dodała Sarda. Ostatecznie jest to ” ogromny problem dla każdego, kto troszczy się nawet zdalnie o dane osobowe i prywatność.”

usterki naprawione… pół roku później

chociaż zajęło to około sześciu miesięcy, Bumble naprawił problemy na początku tego miesiąca, a rzecznik dodał: „Bumble ma długą historię współpracy z HackerOne i jego programem bug bounty w ramach naszej ogólnej praktyki bezpieczeństwa cybernetycznego i jest to kolejny przykład tego partnerstwa. Po otrzymaniu powiadomienia o problemie rozpoczęliśmy wieloetapowy proces naprawy, który obejmował wprowadzenie kontroli w celu ochrony wszystkich danych użytkownika podczas wdrażania poprawki. Podstawowy problem związany z bezpieczeństwem użytkowników został rozwiązany i nie doszło do naruszenia danych użytkownika.”

Sarda ujawniła problemy już w marcu. Pomimo wielokrotnych prób uzyskania odpowiedzi na stronie ujawniania luk w zabezpieczeniach HackerOne od tego czasu, Bumble nie dostarczył żadnej, według Sardy. Do 1 listopada Sarda powiedział, że luki były nadal obecne w aplikacji. Na początku tego miesiąca Bumble zaczął naprawiać problemy.

w ostrym porównaniu, Bumble rival Hinge ściśle współpracował z badaczem ISE Brendanem Ortizem, gdy dostarczał informacji na temat luk w zabezpieczeniach aplikacji randkowej należącej do Match. Zgodnie z harmonogramem dostarczonym przez Ortiza, firma zaoferowała Nawet zapewnienie dostępu zespołom ds. bezpieczeństwa, których zadaniem jest zatykanie dziur w oprogramowaniu. Problemy zostały rozwiązane w niecały miesiąc.

Śledź mnie na Twitterze. Zajrzyj na moją stronę. Wyślij mi Bezpieczny napiwek.