Bumble är stolt över att vara en av de mer etiskt sinnade dejtingsapparna. Men gör det tillräckligt för att skydda de privata uppgifterna för sina 95 miljoner användare? På vissa sätt, inte så mycket, enligt forskning som visats för Forbes före offentliggörandet.
forskare vid San Diego-baserade oberoende Säkerhetsutvärderare upptäckte att även om de hade blivit förbjudna från tjänsten kunde de få en mängd information om daters som använder Bumble. Innan bristerna fixades tidigare denna månad, efter att ha varit öppna i minst 200 dagar sedan forskarna varnade Bumble, kunde de förvärva identiteten hos varje Bumble-användare. Om ett konto var anslutet till Facebook var det möjligt att hämta alla sina ”intressen” eller sidor de gillade. En hackare kan också få information om den exakta typen av person som en Bumble-användare letar efter och alla bilder de laddade upp till appen.
kanske mest oroande, om det var baserat i samma stad som hackaren, var det möjligt att få en användares grova plats genom att titta på deras ”avstånd i miles.”En angripare kan sedan förfalska platser för en handfull konton och sedan använda matematik för att försöka triangulera ett måls koordinater.
”detta är trivialt när man riktar sig mot en specifik användare”, säger Sanjana Sarda, en säkerhetsanalytiker på ISE, som upptäckte problemen. För sparsamma hackare var det också” trivialt ” att få tillgång till premiumfunktioner som obegränsade röster och avancerad filtrering gratis, tillade Sarda.
detta var allt möjligt på grund av hur Bumbles API eller applikationsprogrammeringsgränssnitt fungerade. Tänk på ett API som den programvara som definierar hur en app eller en uppsättning appar kan komma åt data från en dator. I det här fallet är datorn Bumble-servern som hanterar användardata.
Sarda sa att Bumbles API inte gjorde de nödvändiga kontrollerna och inte hade gränser som gjorde det möjligt för henne att upprepade gånger söka servern för information om andra användare. Till exempel kunde hon räkna upp alla användar-ID-nummer genom att helt enkelt lägga till ett till föregående ID. Även när hon var låst, Sarda kunde fortsätta rita vad som borde ha varit privata data från Bumble-servrar. Allt detta gjordes med vad hon säger var ett ” enkelt manus.”
”dessa problem är relativt enkla att utnyttja, och tillräcklig testning skulle ta bort dem från produktionen. På samma sätt bör det vara relativt enkelt att fixa dessa problem eftersom potentiella korrigeringar innebär verifiering av begäran på serversidan och hastighetsbegränsande”, sa Sarda eftersom det var så lätt att stjäla data på alla användare och potentiellt utföra övervakning eller sälja informationen, det belyser det kanske felplacerade förtroende som människor har i stora märken och appar tillgängliga via Apple App Store eller Googles Play market, tillade Sarda. I sista hand, det är en ” enorm Fråga för alla som bryr sig ens på distans om personlig information och integritet.”
brister fixade … ett halvt år senare
Även om det tog ungefär sex månader, fixade Bumble problemen tidigare denna månad, med en talesman som tillade: ”Bumble har haft en lång historia av samarbete med HackerOne och dess bug bounty-program som en del av vår övergripande cybersäkerhetspraxis, och detta är ett annat exempel på det partnerskapet. Efter att ha varnat för problemet började vi sedan den flerfasiga saneringsprocessen som inkluderade att sätta kontroller på plats för att skydda all användardata medan korrigeringen implementerades. Det underliggande användarsäkerhetsrelaterade problemet har lösts och inga användardata har komprometterats.”
Sarda avslöjade problemen tillbaka i Mars. Trots upprepade försök att få svar på webbplatsen HackerOne vulnerability disclosure sedan dess, Bumble hade inte tillhandahållit en, enligt Sarda. I November 1, Sarda sa att sårbarheterna fortfarande var bosatta i appen. Sedan, tidigare denna månad, Bumble började fixa problemen.som en skarp jämförelse arbetade Bumble rival Hinge nära med ise-forskaren Brendan Ortiz när han gav information om sårbarheter till den Matchägda dejtingsappen under sommaren. Enligt tidslinjen från Ortiz erbjöd företaget till och med att ge tillgång till säkerhetsgrupperna som hade till uppgift att ansluta hål i programvaran. Problemen åtgärdades på mindre än en månad.
Följ mig på Twitter. Kolla in min hemsida. Skicka mig ett säkert tips.