Les informations susceptibles d’avoir ete volees en raison des failles de l’API comprenaient les photos des gens, leurs lieux d’origine, leurs preferences en matiere de rencontres et les donnees de Facebook
Mes failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les precisions personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions de gens.
Mes bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait gui?re les demandes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et son equipe d’evaluateurs chez Independent Security Evaluators. En plus de trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium d’la plateforme qui offre a toutes les utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter pour voler des donnees sur tous ses utilisateurs.
Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et son equipe ont ecrit un script de preuve de concept qui un a permis de denicher des utilisateurs mousemingle en envoyant un nombre illimite de requetes au serveur. Mes chercheurs ont pu enumerer l’ensemble des utilisateurs de Bumble et recuperer un tresor d’informations a un sujet. Si votre utilisateur accedait a Bumble via le compte Facebook, un cybercriminel aurait pu creer une image complete de lui en recuperant l’ensemble de ses centres d’interet et les pages qu’il aimait.
Un attaquant pourrait potentiellement avoir acces a des donnees, tel le type de personne que l’utilisateur recherche, ce qui pourrait s’averer utile pour coder une fausse identite pour une arnaque romantique.
Il aurait egalement acces aux renseignements que nos utilisateurs partagent dans leur profil, tel un taille, leurs croyances religieuses et leurs tendances politiques. Notre chapeau noir pourrait egalement permettre de localiser les personnes et de voir si elles sont Sur les forums. Il semble attractif de noter que les chercheurs ont pu recuperer d’autres precisions sur les utilisateurs meme apres que Bumble ait verrouille leur compte.
L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification une limite de balayage se fait via l’intermediaire du frontal mobile, et cela signifie qu’il n’y a aucun verification en exige API reelle. Comme il n’y a aucun controle dans l’interface de l’application web, l’utilisation de l’application web a la place de l’application mobile implique que les utilisateurs ne vont i?tre jamais a court de glissements », precise M. Sarda.
Les chercheurs se seront egalement penches sur la fonction Beeline de l’application. Avec le portable de developpement, ils ont trouve un moyen d’observer l’ensemble des utilisateurs dans un flux de matchs potentiels. « il va i?tre interessant de noter qu’elle affiche egalement leur vote et nous pouvons l’utiliser pour differencier les utilisateurs qui n’ont nullement vote de ceux ayant swipe a droite », i chaque fois d’apres M. Sarda.
Il a fallu six mois a Bumble Afin de boucher (presque) chacune des failles. Notre 11 novembre, Sarda et le equipe ont constate qu’il y avait peut-etre i nouveau du bricolage a Realiser. Il precise : « Un attaquant est en mesure de i chaque fois utiliser le point final pour obtenir des informations telles que les gouts de Facebook, des photos et d’autres informations de profil tel nos interets de rencontre. Ca fonctionne toujours Afin de votre utilisateur non valide et bloque, donc 1 attaquant va coder 1 nombre illimite de faux comptes pour voler l’integralite les donnees de l’utilisateur. »
Bumble se doit de resoudre l’ensemble de ces problemes au sein des prochains jours.