Des millions d’utilisateurs de l’application de rencontres Bumble ont peut-être vu leur confidentialité en ligne compromise en raison de failles de sécurité qui n’ont pas été corrigées pendant plus de six mois.
Des chercheurs de Independent Security Evaluators (ISE), basés en Californie, ont découvert que les informations sensibles concernant chaque utilisateur de Bumble pouvaient être facilement acquises par un attaquant, même si elles avaient déjà été bannies de l’application.
Étant donné que l’API de Bumble n’a pas effectué les vérifications nécessaires pour savoir si un émetteur de demandes était autorisé à effectuer une action spécifique ni fixé de limites sur le nombre de demandes pouvant être envoyées, il était possible d’accéder aux données des serveurs de Bumble qui auraient dû rester privées. Si un profil Bumble était connecté à Facebook, les pirates pourraient accéder à encore plus d’informations, y compris le type de date qu’ils recherchaient et les images qu’ils avaient téléchargées sur l’application.
La possibilité de découvrir l’emplacement approximatif d’un utilisateur tant qu’il était basé dans la même ville que le pirate était plus préoccupante. En évaluant la «distance en miles» d’un utilisateur sur plusieurs faux comptes, les pirates pourraient potentiellement trianguler la position d’un utilisateur avec une précision alarmante.
Sommaire
Erreur de sécurité de Bumble
Les failles de sécurité trouvées par ISE sont simples à exploiter, impliquant un simple script. Ils sont également faciles à identifier et à corriger, ce qui rend d’autant plus inquiétant qu’ils ont été autorisés à mettre autant d’utilisateurs en danger.
«Au 1er novembre 2020, toutes les attaques mentionnées dans ce blog fonctionnaient toujours», a déclaré Sanjana Sarda, analyste de la sécurité à ISE. «Lors de nouveaux tests pour les problèmes suivants le 11 novembre 2020, certains problèmes avaient été partiellement atténués. Bumble n’utilise plus d’identifiants d’utilisateurs séquentiels et a mis à jour son schéma de chiffrement précédent. Cela signifie qu’un attaquant ne peut plus vider toute la base d’utilisateurs de Bumble en utilisant l’attaque comme décrit ici. »
Bien que les problèmes de sécurité soient en cours de résolution, Bumble en a été alerté pour la première fois en mars. Malheureusement, ce retard a donné aux attaquants une énorme opportunité.
Via Forbes
