Bumble e orgogliosa di essere una delle app di appuntamenti piu etiche. Ma sta facendo abbastanza durante aiutare i dati privati ??dei suoi 95 milioni di utenti? In un alcuno coscienza, non tanto alquanto, altro una ricerca mostrata verso Forbes avanti del adatto rilasciamento gente.
I ricercatori dell’Independent Security Evaluators di San Diego hanno esplorato cosicche ancora qualora fossero stati banditi dal attivita, avrebbero potuto acquistare una grande caterva di informazioni sulle persone utilizzando Bumble. Inizialmente in quanto i difetti venissero risolti all’inizio di presente mese, essendo stati presenti durante come minimo 200 giorni da qualora i ricercatori hanno messo al corrente Bumble, questi potevano comprare le identita di ogni cliente della app. Dato che un account evo collegato verso xcheaters Facebook, periodo verosimile invero recuperare tutti i suoi “interessi” oppure le pagine giacche gli erano piaciute. Un hacker avrebbe potuto di nuovo acquisire informazioni sul qualita fedele di individuo perche un consumatore di Bumble stava cercando e riguardo a tutte le immagini cosicche aveva posto sull’app.
Circa la bene piu serio e giacche nel caso che l’utente si fosse trovato a risiedere nella stessa agglomerato dell’hacker, il filibustiere informatico avrebbe perfettamente potuto prendere la sua livello approssimativa osservando la “distanza in miglia” in quanto li separava. Un utente malevolo avrebbe poi potuto manipolare le posizioni di una manciata di account e prendere la analisi verso agognare di triangolare le coordinate di un bersaglio.
“Questo e sciolto in quale momento si prende di segno un cliente specifico”, ha detto Sanjana Sarda, elaboratore di perizia presso Ise, perche ha esplorato i problemi. A causa di gli hacker eta e ‘banale’ accedere a praticita premium come voti illimitati e filtri avanzati gratuiti, ha allegato Sarda.
Totale cio e status fattibile per origine del maniera per cui funzionavano l’Api oppure l’interfaccia di pianificazione dell’applicazione di Bumble. Pensa a un’Api che al programma che definisce il sistema in cui un’app ovverosia un set di app possono accedere ai dati da un elaboratore. Durante corrente caso il calcolatore elettronico e il server Bumble perche gestisce i dati dell’utente.
Sarda ha motto che l’Api di Bumble non aveva eseguito i controlli necessari e non presentava limiti affinche le le avrebbero accordato di indagare ripetutamente il server in informazioni circa prossimo utenti. Ad dimostrazione, avrebbe potuto contare tutti i numeri di ID consumatore facilmente aggiungendone unito all’ID altro. Di nuovo laddove il guasto e stata bloccato, Sarda e stata durante grado di continuare per sottrarre dai server di Bumble quelli perche avrebbero conveniente succedere dati privati ?. Compiutamente attuale e ceto atto mediante quegli affinche lei dice abitare un ‘semplice script’.
“Questi problemi sono relativamente semplici da usufruire e un numero presuntuoso di prova li rimuoverebbe dalla allevamento. Allo uguale modo, la decisione di questi problemi dovrebbe risiedere parzialmente agevole poiche le potenziali correzioni implicano la controllo della istanza zona server e la riserva della velocita”, ha dichiarato Sarda.
Considerando modo fosse percio agevole rubare dati su tutti gli utenti e virtualmente fare la vigilanza o rivendere le informazioni, l’accaduto evidenzia la reputazione dubbio mal riposta affinche le persone hanno nei grandi marchi e nelle app disponibili di traverso l’App Store Apple ovverosia Google Play, ha accessorio Sarda. Per definitiva, corrente e un “problema imponente attraverso tutti coloro in quanto non si preoccupano ne alla lontana delle informazioni personali e della privacy”.
Bumble, difetti risolti… sei mesi appresso
Ed se ci sono voluti quasi sei mesi, Bumble ha risolto i problemi all’inizio di attuale mese. Un messo ha manifesto: “Bumble ha avuto una lunga storia di sostegno unitamente HackerOne e il suo esposizione di bug bounty mezzo brandello della nostra uso vago di confidenza informatica, e corrente e un seguente dimostrazione di quella partnership. Dopo succedere stati avvisati del pensiero, abbiamo percio incamminato il fascicolo di riscatto mediante piuttosto fasi cosicche includeva l’implementazione dei controlli verso sostenere tutti i dati dell’utente nello spazio di l’attivita di pena. Il questione proporzionato alla sicurezza dell’utente e ceto risolto e nessun dato e situazione compromesso”.
Sarda ha rivelato i problemi verso marzo. Da allora, quantunque i ripetuti tentativi di acquisire una risposta contatto il sito web di pubblicita delle vulnerabilita di HackerOne, Bumble non ne ha fornita una. Il 1° novembre Sarda ha dichiarato affinche le vulnerabilita erano arpione presenti nell’app. Poi, all’inizio di presente mese, Bumble ha iniziato per chiarire i problemi.
Di verso, il concorrente di Bumble Hinge ha lavorato verso intimo amicizia mediante il indagatore Ise Brendan Ortiz mentre egli ha presentato informazioni sulle vulnerabilita all’app di appuntamenti di terra di confronto all’epoca di l’estate. Successivo la successione fornita da Ortiz, la comunita si e perfino elemosina di mostrare l’accesso ai squadra di sicurezza incaricati di otturare i buchi nel software. I problemi sono stati risolti per eccetto di un mese.