Share This
Связаться со мной
Крути в низ
Categories
//Уязвимость в API Bumble выдавала информацию о миллионах пользователей, но исправляли её 200 дней

Уязвимость в API Bumble выдавала информацию о миллионах пользователей, но исправляли её 200 дней

16.11.2020Category : My Habr

Исследователи из организации Independent Security Evaluators обнаружили уязвимость в приложении для знакомств Bumble. Уязвимость позволяла узнать номер идентификатора каждого пользователя Bumble. Если учетная запись была подключена к Facebook, можно было узнать, каким записям и фото поставил лайк пользователь.

Самым опасным было то, что уязвимость позволяла злоумышленнику определить приблизительное местоположение интересующего его пользователя. Кроме того, она давала возможность бесплатно получить доступ к премиум-функциям приложения. По словам Санджаны Сарды, аналитика ISE, для злоумышленника не составило бы труда пользоваться премиум-функциями, такими как неограниченное количество голосов и расширенный поиск.

Это стало возможным благодаря тому, как работает API Bumble. Как объяснила Сарда, API Bumble позволял перебирать все номера идентификаторов пользователей, просто добавляя единицу к предыдущему идентификатору. Даже после блокировки в приложении Сарда могла извлекать личную информацию с серверов Bumble. Все это было сделано по «при помощи простого скрипта».

«Эти уязвимости относительно просты в использовании, и их можно исправить, уделяя достаточно времени тестированию», — заявила Сарда.

По её словам, раз данные о пользователях было так легко получить, это подчеркивает, возможно, неуместное доверие людей к крупным брендам и приложениям, доступным через Apple App Store или Google Play Market. Это «огромная проблема для всех, кто хоть отдаленно заботится о личной информации и конфиденциальности», заключила Сарда.

Сарда сообщила о проблемах через HackerOne ещё в марте. Несмотря на неоднократные попытки получить ответ от Bubmle, к 1 ноября уязвимость всё ещё присутствовала в приложении. К 11 ноября часть проблем была устранена. В целом у Bumble ушло почти полгода на то, чтобы исправить уязвимости.

«После того, как мы получили предупреждение о проблеме, мы начали многоэтапный процесс, который включал в себя защиту всех пользовательских данных во время внедрения исправления. Основная проблема, связанная с безопасностью пользователей, была решена, и данные не были скомпрометированы».

Для сравнения, конкурент Bumble, приложение Hinge, тесно сотрудничал с исследователем ISE Бренданом Ортисом. Летом он сообщил компании о найденных уязвимостях, и проблемы были устранены менее чем за месяц.

  • 0 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close