El sitio de citas Bumble deja visitas desprotegidas a 100 millones de usuarios - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El sitio de citas Bumble deja visitas desprotegidas a 100 millones de usuarios

Hola y mil gracias por leerme. Soy Eduardo Arroyo y esta vez vamos a hablar sobre El sitio de citas Bumble deja visitas desprotegidas a 100 millones de usuarios

El sitio de citas Bumble deja visitas desprotegidas a 100 millones de usuarios

Un error de API expuso la información personal de los usuarios, como las tendencias políticas, los signos astrológicos, la educación e incluso la altura y el peso y su kilometraje.

Después de examinar más de cerca el código del popular sitio de citas y aplicación Bumble, donde las mujeres suelen iniciar la conversación, la investigadora de Independent Security Evaluators, Sanjana Sarda, descubrió vulnerabilidades de API. Estos no solo le permitieron evitar el pago de los servicios premium de Bumble Boost, sino que también pudo hacerlo. acceder a la información personal de toda la base de usuarios de la plataforma de casi 100 millones.

Sarda dijo que estos problemas son fáciles de encontrar y que la respuesta de la compañía a su informe de defectos muestra que Bumble necesita tomar las pruebas y la divulgación de vulnerabilidades más en serio. HackerOne, la plataforma que aloja el proceso de informes y recompensas de errores de Bumble, dijo que el servicio de romance tiene un historial sólido de colaboración con piratas informáticos éticos.

Detalles del error

«Me tomó unos dos días encontrar las vulnerabilidades iniciales y otros dos días encontrar una prueba de concepto para más exploits basados ​​en las mismas vulnerabilidades», dijo Sarda a Threatpost por correo electrónico. «Aunque los problemas relacionados con API no son tan conocidos como algo como la inyección de SQL, estos problemas pueden causar daños importantes».

Realizó ingeniería inversa de la API de Bumble y encontró varios puntos finales que procesaban acciones sin ser controlados por el servidor. Esto significó que los límites de los servicios premium, como el número total de pases positivos «correctos» por día permitidos (deslizar el dedo hacia la derecha significa que está interesado en la coincidencia potencial), simplemente se omitieron utilizando la aplicación web Bumble en lugar de móvil.

Otro servicio de nivel premium de Bumble Boost se llama The Beeline, que permite a los usuarios ver a todas las personas que han deslizado su perfil. Aquí, Sarda explicó que usó Developer Console para encontrar un punto final que mostrara a cada usuario en un feed de coincidencia potencial. A partir de ahí, pudo descifrar los códigos para aquellos que pasaban el dedo hacia la derecha y los que no.

Pero además de los servicios premium, la API también permite a Sarda acceder al punto final «server_get_user» y enumerar los usuarios de Bumble en todo el mundo. También pudo recuperar los datos de Facebook de los usuarios y los datos de «deseos» de Bumble, que le indica el tipo de coincidencia que están buscando. Los campos de «perfil» también eran accesibles, que contenían información personal como inclinaciones políticas, signos astrológicos, educación e incluso altura y peso.

Informó que la vulnerabilidad también podría permitir a un atacante averiguar si un usuario en particular ha instalado la aplicación móvil y es de la misma ciudad y, lo que es preocupante, el kilometraje.

«Se trata de una invasión de la privacidad del usuario, ya que se puede apuntar a usuarios específicos, los datos de los usuarios se pueden convertir en productos básicos o se pueden utilizar como un conjunto de capacitación para modelos de aprendizaje automático facial, y los atacantes pueden usar la triangulación para detectar la ubicación. general de un usuario específico «, dijo Sarda. «Revelar la orientación sexual de un usuario y otra información de perfil también puede tener consecuencias en la vida real».

En una nota más alegre, Sarda también dijo que durante sus pruebas, pudo ver si alguien había sido identificado por Bumble como «sexy» o no, pero encontró algo muy curioso.

«[I] Todavía no he encontrado a nadie que Bumble considere sexy ”, dijo.

Sarda dijo que ella y su equipo de ISE informaron en privado sus hallazgos a Bumble para intentar mitigar las vulnerabilidades antes de hacer pública su investigación.

«Después de 225 días de silencio de la compañía, pasamos al plan de publicar la investigación», dijo Sarda a Threatpost por correo electrónico. «No fue hasta que comenzamos a hablar sobre la publicación que recibimos un correo electrónico de HackerOne el 11/11/20 sobre cómo» Bumble quiere evitar que los detalles se filtren a la prensa. «»

HackerOne luego se movió para resolver algunos problemas, dijo Sarda, pero no todos. Sarda descubrió cuando revisó que Bumble ya no usa ID de usuario secuenciales y actualizó su cifrado.

«Esto significa que ya no puedo descargar toda la base de usuarios de Bumble», dijo.

Además, la solicitud de API que una vez le dio kilometraje a otro usuario ya no funciona. Sin embargo, el acceso a otra información de Facebook todavía está disponible. Sarda dijo que espera que Bumble aborde estos problemas en los próximos días.

«Vimos que el informe de HackerOne # 834930 se resolvió (4.3 – gravedad media) y Bumble ofreció una recompensa de 500 dólares», dijo. «No aceptamos esta recompensa porque nuestro objetivo es ayudar a Bumble a resolver por completo todos sus problemas mediante la realización de pruebas de mitigación».

Sarda explicó que repitió la prueba el 1 de noviembre y que todos los problemas seguían vigentes. Al 11 de noviembre, «algunos problemas se habían mitigado parcialmente». Añadió que esto indica que Bumble no respondió lo suficiente a través de su Programa de divulgación de vulnerabilidades (VDP).

No es así, según HackerOne.

«La divulgación de vulnerabilidades es una parte vital de la postura de seguridad de cualquier organización», dijo HackerOne a Threatpost en un correo electrónico. “Asegurar que las vulnerabilidades estén en manos de las personas que pueden solucionarlas es esencial para proteger la información crítica. Bumble tiene un historial de colaboración con la comunidad de hackers a través de su programa de recompensas por errores en HackerOne. Aunque el problema informado en HackerOne fue abordado por el equipo de seguridad de Bumble, la información revelada al público incluye información que es muy superior a lo que se reveló originalmente de manera responsable. El equipo de seguridad de Bumble trabaja las 24 horas del día para garantizar que todos los problemas relacionados con la seguridad se resuelvan rápidamente y ha confirmado que no se ha comprometido ningún dato del usuario «.

Threatpost se ha puesto en contacto con Bumble para obtener más comentarios.

Las API son un vector de ataque que se pasa por alto y los desarrolladores las utilizan cada vez más, según Jason Kent, hacker residente de Cequence Security.

«El uso de la API se ha disparado tanto para los desarrolladores como para los malos actores», dijo Kent por correo electrónico. “Las mismas ventajas para los desarrolladores en términos de velocidad y flexibilidad se utilizan para llevar a cabo un ataque que resulta en fraude y pérdida de datos. En muchos casos, la causa raíz del bloqueo es un error humano, como mensajes de error detallados o control de acceso y autenticación mal configurados. La lista sigue y sigue. «

Kent agregó que depende de los equipos de seguridad y los centros de excelencia de API descubrir cómo mejorar su seguridad.

Y de hecho, Bumble no está solo. Aplicaciones de citas similares como OKCupid y Match también han tenido problemas con vulnerabilidades de privacidad de datos en el pasado.

.

Deberías compartir en tus redes sociales para que tus amigos opinen

??? ? ? ???

Comparte