Bumble orgulha-se de ser um dos aplicativos de datação mais eticamente pensados. Mas estará a fazer o suficiente para proteger os dados privados dos seus 95 milhões de utilizadores? De certa forma, não tanto, de acordo com a pesquisa mostrada à Forbes antes de sua libertação pública.os investigadores dos avaliadores independentes de segurança de San Diego descobriram que, mesmo que tivessem sido banidos do serviço, podiam adquirir uma grande quantidade de informação sobre quem usava o Bumble. Antes das falhas serem corrigidas no início deste mês, estando abertas por pelo menos 200 dias desde que os pesquisadores alertaram Bumble, eles poderiam adquirir as identidades de cada usuário do Bumble. Se uma conta estava conectada ao Facebook, era possível recuperar todos os seus “interesses” ou páginas que eles gostaram. Um hacker também poderia adquirir informações sobre o tipo exato de pessoa que um usuário do Bumble está procurando e todas as fotos que eles carregaram para o aplicativo.talvez de forma mais preocupante, se baseado na mesma cidade que o hacker, foi possível obter a localização aproximada de um usuário olhando para a sua “Distância em milhas”.”Um atacante poderia então falsificar locais de um punhado de contas e, em seguida, usar matemática para tentar triangular as coordenadas de um alvo.
“isso é trivial quando se trata de um usuário específico”, disse Sanjana Sarda, uma analista de segurança da ISE, que descobriu os problemas. Para os hackers poupados, também foi “trivial” acessar recursos premium como votos ilimitados e filtragem avançada de graça, Sarda acrescentou.
tudo isto foi possível devido à forma como a API do Bumble ou a interface de programação de aplicações funcionavam. Pense em uma API como o software que define como um aplicativo ou conjunto de aplicativos podem acessar dados de um computador. Neste caso, o computador é o servidor Bumble que gerencia os dados do Usuário.
Sarda disse que a API do Bumble não fez as verificações necessárias e não tinha limites que lhe permitissem sondar repetidamente o servidor para obter informações sobre outros usuários. Por exemplo, ela poderia enumerar todos os números de ID do usuário simplesmente adicionando um ao ID anterior. Mesmo quando ela estava trancada, a Sarda foi capaz de continuar a desenhar o que deviam ser dados privados dos servidores Bumble. Tudo isso foi feito com o que ela diz ser um “roteiro simples.”
” estas questões são relativamente simples de explorar, e testes suficientes removê-los da produção. Da mesma forma, a resolução destes problemas deve ser relativamente fácil como potenciais envolvem correções do lado do servidor solicitar a verificação e limitação de taxa,” Sarda disse
Como foi tão fácil para roubar dados sobre todos os usuários e, potencialmente, executar a vigilância ou de revender as informações, ele destaca, talvez equivocada, de confiança que as pessoas têm de grandes marcas e aplicativos disponíveis através da Apple App Store ou no Google Play market, Sarda adicionado. Em última análise, esse é um “grande problema para todos que se preocupam remotamente com informações pessoais e Privacidade.”
Falhas fixo… metade de um ano mais tarde
Apesar de ele levou cerca de seis meses, Bumble resolvido os problemas no início deste mês, com um porta-voz, acrescentando: “Bumble tem tido uma longa história de colaboração com HackerOne e seu programa de premiação por bugs como parte de nossa estratégia de segurança cibernética prática, e este é outro exemplo de que a parceria. Depois de ser alertado para a questão, começamos então o processo de remediação multi-fase que incluiu a colocação de controles em vigor para proteger todos os dados do usuário, enquanto a correção estava sendo implementada. O problema de segurança do Usuário subjacente foi resolvido e não houve dados do Usuário comprometidos.”
Sarda revelou os problemas em Março. Apesar de repetidas tentativas de obter uma resposta sobre o site HackerOne vulnerability disclosure desde então, Bumble não tinha fornecido um, de acordo com Sarda. Em 1 de novembro, Sarda disse que as vulnerabilidades ainda estavam no aplicativo. Então, no início deste mês, Bumble começou a resolver os problemas.
Como uma comparação stark, Bumble rival Hinge trabalhou de perto com o pesquisador da ISE Brendan Ortiz quando ele forneceu informações sobre vulnerabilidades para o aplicativo de encontros de propriedade Match durante o verão. De acordo com o cronograma fornecido pela Ortiz, a empresa até ofereceu acesso às equipes de segurança encarregadas de tapar buracos no software. Os problemas foram resolvidos em menos de um mês.