Les renseignements susceptibles d’avoir ete volees en raison des failles de l’API comprenaient nos photos des gens, leurs lieux d’origine, leurs preferences en matiere de rencontres et les donnees de Facebook

Les failles de securite de Bumble, l’une des applications de rencontre les plus populaires aujourd’hui, auraient pu exposer les informations personnelles de l’ensemble de sa base d’utilisateurs, forte de pres de 100 millions d’individus.

Les bogues – qui affectaient l’interface de programmation d’application (API) de Bumble et provenaient du fait que le service de rencontres ne verifiait jamais les requi?tes des utilisateurs cote serveur – ont ete lus par Sanjana Sarda et le equipe d’evaluateurs chez Independent Security Evaluators. En plus de trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium une plateforme qui offre a toutes les utilisateurs une foule de fonctionnalites avancees, les chercheurs ont decouvert des failles de securite qu’un attaquant potentiel pourrait exploiter Afin de voler des donnees sur l’ensemble de ses utilisateurs.

Notre bogue le plus inquietant concernait la fonction de filtrage supplementaire illimite de l’application. Sarda et son equipe ont ecrit un script de preuve de concept qui un a permis de degoter des utilisateurs en envoyant un nombre illimite de requetes au serveur. Les chercheurs ont pu enumerer la totalite des utilisateurs de Bumble et recuperer un tresor d’informations a un sujet. Si 1 utilisateur accedait a Bumble via le compte Facebook, votre cybercriminel aurait pu creer une image complete de lui en recuperant tous ses complexes d’interet et les pages qu’il aimait.

Un attaquant pourrait potentiellement avoir acces a des informations, tel le type de personne que l’utilisateur requi?te, cela pourrait s’averer utile pour creer une fausse identite pour une arnaque romantique.

Il aurait egalement acces a toutes les renseignements que des utilisateurs partagent dans un profil, comme un taille, leurs croyances religieuses et leurs tendances politiques. Le chapeau noir pourrait egalement permettre de localiser les personnes ainsi que voir si elles sont Sur les forums. Il va i?tre opportun de noter que les chercheurs ont pu recuperer d’autres precisions i  propos des utilisateurs meme apres que Bumble ait verrouille leur compte.

L’equipe a egalement contourne la limite de 100 balayages a droite (ou right swipe) dans un delai de 24 heures. « Apres examen plus approfondi, la seule verification d’une limite de balayage se fait avec l’intermediaire du frontal mobile, ce qui signifie qu’il n’y a aucune verification une requi?te API reelle. Comme il n’y a pas de controle concernant l’interface de l’application web, l’utilisation de l’application internet au lieu de l’application mobile implique que nos utilisateurs ne seront pas a court de glissements », precise M. Sarda.

Mes chercheurs se paraissent egalement penches sur la fonction Beeline de l’application. En utilisant la console de developpement, ils ont deniche un moyen de voir l’ensemble des utilisateurs dans un flux de matchs potentiels. « il va i?tre interessant de noter qu’elle affiche egalement leur vote et nous pouvons l’utiliser pour differencier nos utilisateurs qui n’ont nullement vote de ceux ayant swipe a droite », i  chaque fois selon M. Sarda.

Il a fallu six mois a Bumble Afin de boucher (presque) l’integralite des failles. Le 11 novembre, Sarda et son equipe ont constate qu’il y avait peut-etre i  nouveau du travail site de rencontre gratuit ldssingles a Realiser. Il precise : « Un attaquant est en mesure de toujours utiliser le point final Afin de obtenir des precisions telles que les gouts de Facebook, des photos et d’autres precisions de profil tel les interets de rencontre. Cela fonctionne toujours Afin de un utilisateur non valide et bloque, donc votre attaquant va coder un nombre illimite de faux comptes pour voler la totalite les precisions de l’utilisateur. »

Bumble devrait resoudre l’ensemble des problemes dans les prochains jours.