Bumble se mândrește cu faptul că este una dintre aplicațiile de întâlniri mai etice. Dar face suficient pentru a proteja datele private ale celor 95 de milioane de utilizatori? În unele privințe, nu atât de mult, potrivit cercetărilor prezentate Forbes înainte de lansarea sa publică.
cercetătorii de la evaluatorii independenți de securitate din San Diego au descoperit că, chiar dacă li s-ar fi interzis serviciul, ar putea dobândi o mulțime de informații despre datere folosind Bumble. Înainte ca defectele să fie remediate la începutul acestei luni, fiind deschise de cel puțin 200 de zile de când cercetătorii au alertat Bumble, ar putea dobândi identitatea fiecărui utilizator Bumble. Dacă un cont a fost conectat la Facebook, a fost posibil să-și recupereze toate „interesele” sau paginile pe care le-au plăcut. Un hacker ar putea, de asemenea, să obțină informații despre tipul exact de persoană pe care îl caută un utilizator Bumble și despre toate imaginile pe care le-a încărcat în aplicație.
poate cel mai îngrijorător, dacă se bazează în același oraș ca hacker, a fost posibil pentru a obține locația dur unui utilizator uitandu-se la lor „distanța în mile.”Un atacator ar putea apoi să falsifice locațiile a câteva conturi și apoi să folosească matematica pentru a încerca să trianguleze coordonatele unei ținte. „acest lucru este banal atunci când vizează un anumit utilizator”, a declarat Sanjana Sarda, analist de securitate la ISE, care a descoperit problemele. Pentru hackerii economici, a fost, de asemenea, „banal” să acceseze gratuit funcții premium precum voturi nelimitate și filtrare avansată, a adăugat Sarda.
acest lucru a fost posibil datorită modului în care API-ul Bumble sau interfața de programare a aplicațiilor a funcționat. Gândiți-vă la un API ca software-ul care definește modul în care o aplicație sau un set de aplicații poate accesa date de pe un computer. În acest caz, computerul este serverul Bumble care gestionează datele utilizatorului.
Sarda a spus că API-ul Bumble nu a făcut verificările necesare și nu a avut limite care i-au permis să sondeze în mod repetat serverul pentru informații despre alți utilizatori. De exemplu, ea ar putea enumera toate numerele de identificare ale utilizatorului prin simpla adăugare a unuia la ID-ul anterior. Chiar și atunci când a fost blocată, Sarda a putut continua să deseneze ceea ce ar fi trebuit să fie date private de pe serverele Bumble. Toate acestea au fost făcute cu ceea ce spune ea a fost un „scenariu simplu.”
„aceste probleme sunt relativ simple de exploatat, iar testarea suficientă le-ar elimina din producție. De asemenea, remedierea acestor probleme ar trebui să fie relativ ușoară, deoarece potențialele remedieri implică verificarea solicitărilor de pe server și limitarea ratei”, a spus Sarda, deoarece a fost atât de ușor să furi date despre toți utilizatorii și să efectuezi supravegherea sau să revinzi informațiile, subliniază încrederea probabil greșită pe care oamenii o au în marile mărci și aplicații disponibile prin Apple App Store sau Google Play market, a adăugat Sarda. În cele din urmă, aceasta este o „problemă uriașă pentru toți cei cărora le pasă chiar și de la distanță de informațiile personale și de confidențialitate.”
defecte fixe… o jumătate de an mai târziu
deși a durat aproximativ șase luni, Bumble a rezolvat problemele la începutul acestei luni, un purtător de cuvânt adăugând: „Bumble a avut o lungă istorie de colaborare cu HackerOne și programul său de recompense bug ca parte a practicii noastre generale de securitate cibernetică, iar acesta este un alt exemplu al acestui parteneriat. După ce a fost alertat cu privire la problema am început apoi procesul de remediere multi-fază, care a inclus punerea controale în loc pentru a proteja toate datele de utilizator în timp ce fix a fost pus în aplicare. Problema legată de securitatea utilizatorului de bază a fost rezolvată și nu au fost compromise datele utilizatorului.”
Sarda dezvăluit problemele din martie. În ciuda încercărilor repetate de a obține un răspuns pe site-ul de dezvăluire a vulnerabilității HackerOne de atunci, Bumble nu a furnizat unul, potrivit Sarda. Până la 1 noiembrie, Sarda a declarat că vulnerabilitățile erau încă rezidente în aplicație. Apoi, la începutul acestei luni, Bumble a început să remedieze problemele.
ca o comparație puternică, rivalul Bumble Hinge a lucrat îndeaproape cu cercetătorul ISE Brendan Ortiz când a furnizat informații despre vulnerabilitățile aplicației de întâlniri deținute de meci în timpul verii. Conform cronologiei furnizate de Ortiz, compania s-a oferit chiar să ofere acces echipelor de securitate însărcinate cu conectarea găurilor în software. Problemele au fost abordate în mai puțin de o lună.
Urmați-mă pe Twitter. Check out site-ul meu. Trimite-mi un pont sigur.