Bumble bugs podría haber expuesto datos personales de todos los usuarios


La información en riesgo de robo debido a fallas en la API incluía fotos de personas, ubicaciones, preferencias de citas y datos de Facebook.

Las vulnerabilidades de seguridad en Bumble, una de las aplicaciones de citas más populares de la actualidad, podrían haber expuesto la información private de toda su base de usuarios de casi 100 millones de usuarios.

Sanjana Sarda y su equipo en Evaluadores de seguridad independientes. Además de encontrar una manera de evitar el pago de Bumble Boost, el nivel top quality de la plataforma que ofrece a los usuarios una serie de funciones avanzadas, los investigadores descubrieron lagunas de seguridad que un atacante potencial podría aprovechar para robar datos sobre todos sus usuarios.

El error más preocupante afectó a la función de filtrado adicional ilimitado de la aplicación. Sarda y su equipo escribieron un script de prueba de concepto que les permitió encontrar usuarios enviando solicitudes ilimitadas al servidor. Los investigadores pudieron enumerar a todos los usuarios de Bumble y recuperar un tesoro de información sobre ellos. Si un usuario accedió a Bumble a través de su cuenta de Fb, un ciberdelincuente habría podido crear una imagen completa sobre él recuperando todos sus intereses y las páginas que le gustaban.

Un atacante podría tener acceso a datos, como qué tipo de persona está buscando el usuario, lo que podría resultar útil para crear una persona falsa para un estafa de citas. Además, tendrían acceso a la información que los usuarios comparten en su perfil, como la altura, las creencias religiosas y las inclinaciones políticas. El sombrero negro también podía averiguar la ubicación de las personas y ver si estaban en línea. Curiosamente, los investigadores pudieron recuperar más datos del usuario incluso después de que Bumble bloqueara su cuenta.

LECTURA ADICIONAL: Cuando el amor se convierte en una pesadilla: estafas de citas on the net

El equipo también eludió el límite de 100 deslizamientos hacia la derecha en un plazo de 24 horas. “En un examen más detenido, la única verificación del límite de deslizamiento es a través del entrance-end móvil, lo que significa que no hay verificación de la solicitud de API serious. Como no hay control en el entrance-conclusion de la aplicación website, usar la aplicación web en lugar de la aplicación móvil implica que los usuarios nunca se quedarán sin deslizamientos ”, dijo Sarda.

Los investigadores también probaron la well-known función Beeline de la aplicación. Usando la consola de desarrollo, encontraron una manera de ver a todos los usuarios en un feed de coincidencia potencial. «Lo que es interesante notar, sin embargo, es que también muestra su voto y podemos usar esto para diferenciar entre los usuarios que no han votado y los usuarios que han deslizado el dedo hacia la derecha», dijo Sarda.

Bumble tardó seis meses en tapar (casi) todos los agujeros el 11 de noviembrethSarda y su equipo descubrieron que, de hecho, podría haber más trabajo por hacer. “Un atacante aún puede usar el punto closing para obtener información como me gusta de Facebook, imágenes y otra información de perfil, como intereses de citas. Esto todavía funciona para un usuario no validado y bloqueado, por lo que un atacante puede crear cuentas falsas ilimitadas para volcar los datos del usuario ”, dijo Sarda.

Se espera que Bumble resuelva los problemas en los próximos días.





Enlace a la noticia unique