Bumble引以为豪的是,它是一款更具道德意识的约会应用。但它在保护9500万用户的私人数据方面做得足够吗?据《福布斯》杂志在其公开发布前进行的研究显示,在某些方面,情况并非如此。
总部设在圣地亚哥的独立安全评估机构的研究人员发现,即使他们被禁止使用这项服务,他们也可以使用Bumble获取大量约会对象的信息。在本月早些时候修复漏洞之前,自研究人员提醒Bumble以来,这些漏洞已经开放了至少200天,他们可以获取每个Bumble用户的身份。如果一个账户连接到Facebook,就有可能检索到他们所有的“兴趣”或他们喜欢的页面。黑客还可以获取Bumble用户正在寻找的确切类型的人的信息,以及他们上传到该应用程序的所有照片。
也许最令人担忧的是,如果黑客的总部设在同一座城市,就有可能通过查看用户的“英里距离”来获得用户的大致位置。然后攻击者可以伪造几个账户的位置,然后利用数学手段试图对目标的坐标进行三角定位。
发现这些问题的ISE安全分析师桑贾纳·萨尔达(Sanjana Sarda)表示:“在针对特定用户时,这是微不足道的。”Sarda补充说,对于节俭的黑客来说,免费使用无限制投票和高级过滤等高级功能也是“微不足道的”。
这一切都要归功于Bumble的API或应用编程接口的工作方式。可以将API看作是定义一个或一组应用程序如何从计算机访问数据的软件。在这种情况下,计算机是管理用户数据的Bumble服务器。
Sarda说,Bumble的API没有进行必要的检查,也没有允许她重复探测服务器以获取其他用户信息的限制。例如,她只需在之前的ID上加一个就可以列举出所有的用户ID号。即使在被锁在门外的时候,Sarda也能够继续从Bumble服务器中提取本应是私人数据的数据。所有这一切都是通过她所说的“简单的剧本”完成的。
“这些问题相对容易利用,充分的测试可以将它们从生产中移除。”同样,修复这些问题应该相对容易,因为潜在的修复涉及服务器端请求验证和速率限制。
萨达补充说,由于窃取所有用户的数据非常容易,可能会进行监控或转售这些信息,这突显出人们对苹果应用商店或谷歌Play市场上提供的大品牌和应用程序的信任可能是错误的。归根结底,这“对所有关心个人信息和隐私的人来说都是个大问题”。
尽管花了大约六个月的时间,Bumble还是在本月早些时候解决了这些问题,一位发言人补充道:“Bumble与HackerOne及其漏洞赏金计划有着悠久的合作历史,这是我们整体网络安全实践的一部分,这是这种合作的又一个例子。”在收到该问题的警报后,我们开始了多阶段补救过程,其中包括在实施修复时实施控制措施以保护所有用户数据。与用户安全相关的基本问题已经解决,没有用户数据被泄露。“。
Sarda早在3月份就披露了这些问题。尽管自那以后,Bumble多次试图通过HackerOne漏洞披露网站获得回复,但Bumble一直没有提供回复。截至11月1日,Sarda表示,这些漏洞仍然存在于该应用程序中。然后,本月早些时候,Bumble开始修复这些问题。
Sarda早在3月份就披露了这些问题。据Sarda称,尽管此后多次试图在HackerOne漏洞披露网站上获得回应,但Bumble一直没有提供回应。但截至11月1日,Sarda表示,漏洞仍然存在于该应用程序上。然后,本月早些时候,Bumble开始修复这些问题。
与之形成鲜明对比的是,今年夏天,Bumble的竞争对手Hinger与ISE研究员布兰登·奥尔蒂斯(Brendan Ortiz)密切合作,向Bumble旗下的约会应用提供了漏洞信息。根据Ortiz提供的时间表,该公司甚至提出让负责堵住软件漏洞的安全团队进入。这些问题在不到一个月的时间里就解决了。