Des bogues de Bumble pourraient avoir expose les informations des utilisateurs
Mes informations susceptibles d’avoir ete volees en raison des failles de l’API comprenaient des photos des personnes, leurs lieux de residence, leurs preferences en matiere de rencontres et les donnees de Facebook
Mes failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les informations personnelles de l’ensemble de sa base d’utilisateurs, https://www.besthookupwebsites.org/fr/japan-cupid-review forte de pres de 100 millions de personnes.
Les bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait pas les demandes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et le equipe d’evaluateurs chez Independent Security Evaluators. Outre trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium d’la plateforme qui offre a toutes les utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter Afin de voler des informations sur tous ses utilisateurs.
Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et le equipe ont ecrit un script de preuve de concept qui un a permis de denicher des utilisateurs en envoyant un nombre illimite de requetes au serveur. Mes chercheurs ont pu enumerer l’ensemble des utilisateurs de Bumble et recuperer un tresor d’informations a leur theme. Si votre utilisateur accedait a Bumble via son compte Facebook, un cybercriminel aurait pu creer une image complete de lui en recuperant l’ensemble de ses complexes d’interet et les pages qu’il aimait.
Un attaquant pourrait potentiellement avoir acces a des precisions, tel le type de personne que l’utilisateur requi?te, cela pourrait s’averer utile Afin de coder une fausse identite pour une arnaque romantique.
Cela aurait egalement acces aux precisions que des utilisateurs partagent dans un profil, comme un taille, leurs croyances religieuses et leurs tendances politiques. Notre chapeau noir pourrait egalement permettre de localiser les personnes ainsi que voir si elles seront en ligne. Il semble attractif de noter que les chercheurs ont pu recuperer d’autres informations sur les utilisateurs meme apres que Bumble ait verrouille leur compte.
L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification en limite de balayage s’fait par l’intermediaire du frontal mobile, et cela signifie qu’il n’y a pas de verification une requi?te API reelle. Comme il n’y a pas de controle via l’interface de l’application web, l’utilisation de l’application web a la place de l’application mobile implique que les utilisateurs ne seront jamais a court de glissements », precise M. Sarda.
Les chercheurs se seront egalement penches sur la fonction Beeline de l’application. Avec la console de developpement, ils ont deniche un moyen d’observer la totalite des utilisateurs dans un flux de matchs potentiels. « Il est passionnant de noter qu’elle affiche egalement un vote et nous pouvons l’utiliser pour differencier les utilisateurs qui n’ont nullement vote de ceux ayant swipe a droite », forcement d’apri?s M. Sarda.
Cela a fallu six mois a Bumble pour boucher (limite) l’integralite des failles. Notre 11 novembre, Sarda et le equipe ont constate qu’il y avait peut-etre i nouveau du boulot a faire. Il precise : « Un attaquant pourra toujours utiliser le point final Afin de obtenir des precisions telles que les gouts de Facebook, des photos et d’autres renseignements de profil tel nos interets de retrouve. Cela fonctionne toujours Afin de 1 utilisateur non valide et bloque, donc votre attaquant va creer un nombre illimite de faux comptes pour voler l’integralite les precisions de l’utilisateur. »
Bumble se doit de resoudre l’ensemble des problemes au sein des prochains jours.