Les informations susceptibles d’avoir ete volees en raison des failles de l’API comprenaient les photos des gens, leurs lieux d’origine, leurs preferences en matiere de rencontres et les donnees de Facebook

Mes failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les precisions personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions de gens.

Mes bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait gui?re les demandes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et son equipe d’evaluateurs chez Independent Security Evaluators. En plus de trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium d’la plateforme qui offre a toutes les utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter pour voler des donnees sur tous ses utilisateurs.

Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et son equipe ont ecrit un script de preuve de concept qui un a permis de denicher des utilisateurs mousemingle en envoyant un nombre illimite de requetes au serveur. Mes chercheurs ont pu enumerer l’ensemble des utilisateurs de Bumble et recuperer un tresor d’informations a un sujet. Lees verder →