Bumble e orgogliosa di capitare una delle app di appuntamenti con l’aggiunta di etiche. Ma sta facendo sufficientemente per sostenere i dati privati ??dei suoi 95 milioni di utenti? In un qualche senso, non almeno molto, successivo una analisi mostrata per Forbes prima del suo concessione noto.
I ricercatori dell’Independent Security Evaluators di San Diego hanno esplorato giacche di nuovo nel caso che fossero stati banditi dal contributo, avrebbero potuto apprendere una grande quantita di informazioni sulle persone utilizzando Bumble. Precedentemente cosicche i difetti venissero risolti all’inizio di codesto mese, essendo stati presenti a causa di come minimo 200 giorni da dal momento che i ricercatori hanno avvertito Bumble, questi potevano comprare le riconoscimento di ogni consumatore della app. Dato che un account epoca collegato a Facebook, era realizzabile infatti redimere tutti i suoi “interessi” ovverosia le pagine perche gli erano piaciute. Un hacker avrebbe potuto addirittura acquisire informazioni sul qualita fedele di persona perche un cliente di Bumble stava cercando e sopra tutte le immagini affinche aveva aumentato sull’app.
Forse la cosa oltre a preoccupante e giacche qualora l’utente si fosse trovato verso abitare nella stessa abitato dell’hacker, il bandito informatico avrebbe perfettamente potuto acquisire la sua posizione approssimativa osservando la “distanza durante miglia” perche li separava. Un utente malintenzionato avrebbe percio potuto falsare le posizioni di .jpg)
una manata di account e occupare la matematica per aspirare di triangolare le coordinate di un scopo.
“Questo e chiaro laddove si prende di intento un fruitore specifico”, ha detto Sanjana Sarda, psicoanalista di sicurezza vicino Ise, che ha scoperto i problemi. In gli hacker periodo ancora ‘banale’ accedere per efficienza premium che voti illimitati e filtri avanzati gratuiti, ha allegato Sarda.
Incluso cio e governo verosimile per causa del maniera mediante cui funzionavano l’Api ovverosia l’interfaccia di predisposizione dell’applicazione di Bumble. Pensa a un’Api mezzo al software affinche definisce il maniera durante cui un’app oppure un set di app possono accedere ai dati da un elaboratore. Per codesto avvenimento il cervello elettronico e il server Bumble affinche gestisce i dati dell’utente.
Sarda ha aforisma giacche l’Api di Bumble non aveva eseguito i controlli necessari e non presentava limiti in quanto le le avrebbero consentito di interrogare piu volte il server attraverso informazioni circa gente utenti. Ad esempio, avrebbe potuto contare tutti i numeri di ID cliente chiaramente aggiungendone ciascuno all’ID precedente. Anche dal momento che il mancanza e stata bloccato, Sarda e stata durante classe di persistere verso prendere dai server di Bumble quelli che avrebbero richiesto essere dati privati ?. Insieme presente e stato atto mediante esso perche lei dice succedere un ‘semplice script’.
“Questi problemi sono relativamente semplici da usufruire e un competenza sufficiente di test li rimuoverebbe dalla produzione. Allo identico prassi, la espediente di questi problemi dovrebbe avere luogo parzialmente comprensivo poiche le potenziali correzioni implicano la accertamento della richiesta lato server e la limite della velocita”, ha affermato Sarda.
Considerando modo fosse percio accessibile impadronirsi dati verso tutti gli utenti e virtualmente eseguire la vigilanza o rivendere le informazioni, l’accaduto evidenzia la reputazione circa mal riposta cosicche le persone hanno nei grandi marchi e nelle app disponibili per l’App Store Apple o Google Play, ha allegato Sarda. Durante definitiva, presente e un “problema immenso attraverso tutti coloro perche non si preoccupano nemmeno in lontananza delle informazioni personali e della privacy”.
Bumble, difetti risolti… sei mesi appresso
Addirittura qualora ci sono voluti a proposito di sei mesi, Bumble ha risolto i problemi all’inizio di presente mese. Un portavoce ha eletto: “Bumble ha avuto una lunga fatto di appoggio mediante HackerOne e il conveniente elenco di bug bounty appena dose della nostra attivita comune di destrezza informatica, e codesto e un diverso modello di quella partnership. Poi risiedere stati avvisati del pensiero, abbiamo poi iniziato il andamento di riscatto per con l’aggiunta di fasi giacche includeva l’implementazione dei controlli durante sostenere tutti i dati dell’utente intanto che l’attivita di aggiustamento. Il problema proporzionato alla sicurezza dell’utente e ceto risolto e nessun specifico e stato compromesso”.
Sarda ha rivelato i problemi verso marzo. Da ebbene, sebbene i ripetuti tentativi di acquistare una risposta passaggio il situazione web di divulgazione delle vulnerabilita di HackerOne, Bumble non ne ha fornita una. Il 1° novembre Sarda ha arrivato che le vulnerabilita erano ancora presenti nell’app. Ulteriormente, all’inizio di attuale mese, Bumble ha incominciato a risolvere i problemi.
Di addosso, il nemico di Bumble Hinge ha lavorato per stretto amicizia unitamente il indagatore Ise Brendan Ortiz laddove egli ha provvisto informazioni sulle vulnerabilita all’app di appuntamenti di bene di Match all’epoca di l’estate. Altro la cronologia fornita da Ortiz, la istituzione si e finanche obolo di equipaggiare l’accesso ai gruppo di perizia incaricati di chiudere i buchi nel programma. I problemi sono stati risolti con fuorche di un mese.