jackd fr reviews

Plusieurs bogues de Bumble pourraient avoir expose les donnees des utilisateurs

Plusieurs bogues de Bumble pourraient avoir expose les donnees des utilisateurs

Les renseignements susceptibles d’avoir ete volees en raison des failles de l’API comprenaient les photos des gens, leurs lieux d’origine, leurs preferences en matiere de rencontres et les donnees de Facebook

Les failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les precisions personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions de personnes.

Les bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fera que le service de rencontres ne verifiait jamais les requi?tes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et le equipe d’evaluateurs chez Independent Security Evaluators. En plus de trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium une plateforme qui offre aux utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter pour voler des precisions sur tous ses utilisateurs.

Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et son equipe ont ecrit un script de preuve de concept qui leur a permis de denicher des utilisateurs en envoyant un nombre illimite de requetes au serveur. Mes chercheurs ont pu enumerer l’integralite des utilisateurs de Bumble et recuperer un tresor d’informations a leur theme. Si votre utilisateur accedait a Bumble via le compte Facebook, un cybercriminel aurait pu creer une image complete de lui en recuperant l’ensemble de ses complexes d’interet et les pages qu’il aimait.

Un attaquant pourrait potentiellement avoir acces a des precisions, comme le type de personne que l’utilisateur recherche, ce qui pourrait s’averer utile Afin de coder une fausse identite pour une arnaque romantique.

Il aurait egalement acces aux precisions que les utilisateurs partagent concernant un profil, tel leur taille, leurs croyances religieuses et leurs tendances politiques. Notre chapeau noir pourrait egalement permettre de localiser les personnes et de voir si elles sont online. Il va i?tre opportun de noter que les chercheurs ont pu recuperer d’autres precisions sur les utilisateurs meme apres que Bumble ait verrouille leur compte.

L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification d’la limite de balayage s’fait avec l’intermediaire du frontal mobile, et cela signifie qu’il n’y a aucune verification d’la demande API reelle. Comme il n’y a pas de controle concernant l’interface de l’application https://www.besthookupwebsites.org/fr/jackd-review/ web, l’utilisation de l’application web a la place de l’application mobile implique que les utilisateurs ne seront jamais a court de glissements », precise M. Sarda.

Mes chercheurs se sont egalement penches sur la fonction Beeline de l’application. Avec la console de developpement, ils ont achete un moyen de voir l’ensemble des utilisateurs dans un flux de matchs potentiels. « Il semble opportun de noter qu’elle affiche egalement leur vote et nous pouvons l’utiliser pour differencier nos utilisateurs qui n’ont nullement vote de ceux qui ont swipe a droite », i  chaque fois selon M. Sarda.

Il a fallu six mois a Bumble Afin de boucher (limite) toutes les failles. Notre 11 novembre, Sarda et son equipe ont constate qu’il y avait peut-etre bien du bricolage a Realiser. Cela precise : « Un attaquant est en mesure de toujours utiliser le point final Afin de obtenir des informations telles que les gouts de Facebook, des photos et d’autres renseignements de profil comme les interets de retrouve. Cela fonctionne toujours pour 1 utilisateur non valide et bloque, donc un attaquant pourra creer 1 nombre illimite de faux comptes pour voler l’integralite les precisions de l’utilisateur. »

Bumble doit resoudre l’ensemble des problemes dans les prochains jours.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.