Mes informations susceptibles d’avoir ete volees en raison des failles de l’API comprenaient nos photos des gens, leurs lieux d’origine, leurs preferences en matiere de rencontres et les donnees de Facebook
Les https://besthookupwebsites.org/fr/jaumo-review/ failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les renseignements personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions de personnes.
Mes bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait nullement les requi?tes des utilisateurs cote serveur – ont ete decouverts par Sanjana Sarda et le equipe d’evaluateurs chez Independent Security Evaluators. Outre trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium d’une plateforme qui offre aux utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter Afin de voler des informations sur l’ensemble de ses utilisateurs.
Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et le equipe ont ecrit un script de preuve de concept qui leur a permis de reperer des utilisateurs en envoyant un nombre illimite de requetes au serveur. Les chercheurs ont pu enumerer l’integralite des utilisateurs de Bumble et recuperer un tresor d’informations a un theme. Si votre utilisateur accedait a Bumble via son compte Facebook, 1 cybercriminel aurait pu creer une image complete de lui en recuperant l’ensemble de ses centres d’interet et les pages qu’il aimait.
Un attaquant pourrait potentiellement avoir acces a des donnees, comme le type de personne que l’utilisateur requi?te, ce qui pourrait s’averer utile Afin de coder une fausse identite pour une arnaque romantique.
Cela aurait egalement acces aux informations que des utilisateurs partagent dans un profil, comme leur taille, leurs croyances religieuses et leurs tendances politiques. Le chapeau noir pourrait egalement permettre de localiser les personnes ainsi que voir si elles paraissent Sur les forums. Il semble interessant de noter que les chercheurs ont pu recuperer d’autres informations i propos des utilisateurs meme apres que Bumble ait verrouille leur compte.
L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification en limite de balayage se fait via l’intermediaire du frontal mobile, cela signifie qu’il n’y a aucune verification d’la requi?te API reelle. Comme y n’y a aucune controle concernant l’interface de l’application web, l’utilisation de l’application web i la place de l’application mobile implique que les utilisateurs ne seront jamais a court de glissements », precise M. Sarda.
Les chercheurs se seront egalement penches sur la fonction Beeline de l’application. Avec le portable de developpement, ils ont trouve un moyen d’observer la totalite des utilisateurs dans un flux de matchs potentiels. « il va i?tre opportun de noter qu’elle affiche egalement leur vote et nous pouvons l’utiliser Afin de differencier nos utilisateurs qui n’ont nullement vote de ceux ayant swipe a droite », toujours en fonction de M. Sarda.
Il a fallu six mois a Bumble Afin de boucher (limite) toutes les failles. Le 11 novembre, Sarda et le equipe ont constate qu’il y avait peut-etre i nouveau du boulot a Realiser. Cela precise : « Un attaquant est en mesure de i chaque fois utiliser le point final Afin de obtenir des precisions telles que les gouts de Facebook, des photos et d’autres precisions de profil comme nos interets de rencontre. Cela fonctionne forcement pour 1 utilisateur non valide et bloque, donc un attaquant est en mesure de creer un nombre illimite de faux comptes pour voler l’integralite les donnees de l’utilisateur. »
Bumble doit resoudre l’ensemble des problemes dans les prochains jours.