L’app di incontri Bumble mette a repentaglio i 95 milioni di utenti Facebook

Return to all

L’app di incontri Bumble mette a repentaglio i 95 milioni di utenti Facebook

Bumble e orgogliosa di essere una delle app di appuntamenti ancora etiche. Tuttavia sta facendo a sufficienza a causa di riparare i dati privati ??dei suoi 95 milioni di utenti? Sopra un qualche conoscenza, non dunque parecchio, altro una indagine mostrata verso Forbes precedentemente del suo concessione comune.

I ricercatori dell’Independent Security Evaluators di San Diego hanno esplorato affinche anche se fossero stati banditi dal beneficio, avrebbero potuto apprendere una ingente congerie di informazioni sulle persone utilizzando Bumble. Avanti che i difetti venissero risolti all’inizio di codesto mese, essendo stati presenti a causa di al minimo 200 giorni da laddove i ricercatori hanno avvisato Bumble, questi potevano acquisire le corrispondenza di ciascuno utente della app. Dato che un account evo collegato verso Facebook, epoca realizzabile invero reinserire tutti i suoi “interessi” ovverosia le pagine che gli erano piaciute. Un hacker avrebbe potuto e acquistare informazioni sul campione accurato di uomo affinche un cliente di Bumble stava cercando e riguardo a tutte le immagini giacche aveva sistemato sull’app.

Dubbio la fatto piu inquietante e che nel caso che l’utente si fosse trovato a dimorare nella stessa citta dell’hacker, il bandito informatico avrebbe perfettamente potuto prendere la sua situazione approssimativa osservando la “distanza per miglia” che li separava. Un utente malevolo avrebbe poi potuto manipolare le posizioni di una manciata di account e occupare la analisi a causa di agognare di triangolare le coordinate di un meta.

“Questo e chiaro dal momento che si prende di segno un utente specifico”, ha proverbio Sanjana Sarda, analizzatore di sicurezza accosto Ise, cosicche ha scoperchiato i problemi. Attraverso gli hacker periodo ancora ‘banale’ accedere verso razionalita premium che voti illimitati e filtri avanzati gratuiti, ha associato Sarda.

Insieme cio e governo facile per origine del prassi con cui funzionavano l’Api ovvero l’interfaccia di pianificazione dell’applicazione di Bumble. Pensa verso un’Api come al programma cosicche definisce il metodo mediante cui un’app ovverosia un set di app possono accedere ai dati da un PC. Con codesto accidente il cervello elettronico e il server Bumble affinche gestisce i dati dell’utente.

Sarda ha detto giacche l’Api di Bumble non aveva eseguito i controlli necessari e non presentava limiti che le le avrebbero ammesso di esaminare reiteratamente il server attraverso informazioni riguardo a gente utenti. Ad ipotesi, avrebbe potuto presentare tutti i numeri di ID utente alla buona aggiungendone unito all’ID preesistente. Anche qualora il difetto e stata bloccato, Sarda e stata mediante piacere di proseguire per prelevare dai server di Bumble quelli cosicche avrebbero dovuto capitare dati privati ?. Insieme codesto e ceto atto con quello giacche lei dice risiedere un ‘semplice script’.

“Questi problemi sono parzialmente semplici da utilizzare e un bravura altero di test li rimuoverebbe dalla frutto. Allo proprio maniera, la ardire di questi problemi dovrebbe essere a proposito di agevole dato che le potenziali correzioni implicano la riscontro della interrogazione zona server e la riserva della velocita”, ha celebre Sarda.

Considerando come fosse simile affabile impadronirsi dati contro tutti gli utenti e implicitamente compiere la custodia o rivendere le informazioni, l’accaduto evidenzia la sicurezza all’incirca mal riposta giacche le persone hanno nei grandi marchi e nelle app disponibili di traverso l’App Store Apple o Google Play, ha attaccato Sarda. Per definitiva, attuale e un “problema immenso durante tutti coloro giacche non si preoccupano neppure in lontananza delle informazioni personali e della privacy”.

Bumble, difetti risolti… sei mesi dopo

Anche qualora ci sono voluti circa sei mesi, Bumble ha risolto i problemi all’inizio di questo mese. Un latore ha dichiarato: “Bumble ha avuto una lunga fatto di collaborazione per mezzo di HackerOne e il proprio esposizione di bug bounty come brandello della nostra pratica vago di perizia informatica, e codesto e un estraneo campione di quella partnership. Poi avere luogo stati avvisati del dilemma, abbiamo dunque incominciato il sviluppo di riparazione con con l’aggiunta di fasi perche includeva l’implementazione dei controlli per riparare tutti i dati dell’utente nello spazio di l’attivita di aggiustamento. Il problema adeguato alla sicurezza dell’utente e ceto risolto e nessun elemento e stato compromesso”.

Sarda ha rivelato i problemi per marzo. Da ebbene, sebbene i ripetuti tentativi di ottenere una giudizio accesso il sito web di pubblicita delle vulnerabilita di HackerOne, Bumble non ne ha fornita una. Il 1° novembre Sarda ha affermato giacche le vulnerabilita erano attualmente presenti nell’app. Dopo, all’inizio di codesto mese, Bumble ha iniziato a chiarire i problemi.

Di davanti, il antagonista di Bumble Hinge ha lavorato verso legato aderenza per mezzo di il osservatore Ise Brendan Ortiz laddove egli ha munito informazioni sulle vulnerabilita all’app di appuntamenti di appartenenza di gara nello spazio di l’estate. Successivo la ordine temporale fornita da Ortiz, la comunita si e perfino obolo di equipaggiare l’accesso ai gruppo di perizia incaricati di tappare i buchi nel software. I problemi sono stati risolti sopra tranne di un mese.