Mes precisions susceptibles d’avoir ete volees en raison des failles de l’API comprenaient nos photos des individus, leurs lieux de residence, leurs preferences en matiere de rencontres tГ©lГ©charger japan cupid et les donnees de Facebook

Mes failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les precisions personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions de personnes.

Mes bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait pas les demandes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et son equipe d’evaluateurs chez Independent Security Evaluators. Outre trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium de la plateforme qui offre a toutes les utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter Afin de voler des precisions sur tous ses utilisateurs.

Le bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et son equipe ont ecrit un script de preuve de concept qui leur a permis de reperer des utilisateurs en envoyant un nombre illimite de requetes au serveur. Les chercheurs ont pu enumerer la totalite des utilisateurs de Bumble et recuperer un tresor d’informations a leur sujet. Si 1 utilisateur accedait a Bumble via son compte Facebook, 1 cybercriminel aurait pu coder une image complete de lui en recuperant l’ensemble de ses complexes d’interet et les pages qu’il aimait.

Un attaquant pourrait potentiellement avoir acces a des precisions, comme le type de personne que l’utilisateur recherche, ce qui pourrait s’averer utile Afin de creer une fausse identite pour une arnaque romantique.

Il aurait egalement acces a toutes les renseignements que des utilisateurs partagent sur leur profil, tel un taille, leurs croyances religieuses et leurs tendances politiques. Le chapeau noir pourrait egalement permettre de localiser les personnes ainsi que voir si elles paraissent Sur les forums. Il va i?tre attractif de avouer que les chercheurs ont pu recuperer d’autres informations sur les utilisateurs meme apres que Bumble ait verrouille leur compte.

L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification en limite de balayage s’fait via l’intermediaire du frontal mobile, cela signifie qu’il n’y a aucun verification en requi?te API reelle. Comme il n’y a aucun controle sur l’interface de l’application internet, l’utilisation de l’application internet i  la place de l’application mobile implique que nos utilisateurs ne vont i?tre pas a court de glissements », precise M. Sarda.

Les chercheurs se sont egalement penches sur la fonction Beeline de l’application. En utilisant la console de developpement, ils ont trouve un moyen de voir l’integralite des utilisateurs dans un flux de matchs potentiels. « Cela reste passionnant de noter qu’elle affiche egalement leur vote et nous pouvons l’utiliser Afin de differencier nos utilisateurs qui n’ont pas vote de ceux qui ont swipe a droite », toujours d’apres M. Sarda.

Cela a fallu six mois a Bumble Afin de boucher (limite) l’integralite des failles. Notre 11 novembre, Sarda et le equipe ont constate qu’il y avait peut-etre bien du travail a Realiser. Cela precise : « Un attaquant peut toujours utiliser le point final Afin de obtenir des precisions telles que les gouts de Facebook, des photos et d’autres precisions de profil tel les interets de rencontre. Ca fonctionne toujours pour 1 utilisateur non valide et bloque, donc 1 attaquant est en mesure de coder 1 nombre illimite de faux comptes pour voler la totalite les donnees de l’utilisateur. »

Bumble doit resoudre l’ensemble des problemes au sein des prochains jours.