0
0
O Bumble levou 255 dias para responder e corrigir algumas das vulnerabilidades relatadas pelo pesquisador.
Sites de namoro e aplicativos foram encontrados vulneráveis várias vezes nos últimos anos soletrando mais desastre do que uma fortuna para muitas pessoas. No mais recente, o site de namoro e aplicativo Bumble foi encontrado com uma vulnerabilidade de API por uma pesquisadora de segurança chamada Sanjana Sarda.
Encontrado em 30 de março; o relatório está agora em linha com as práticas responsáveis de divulgação de segurança.
A vulnerabilidade em questão expôs os dados confidenciais de quase todos os usuários da rede, numerando cerca de 100 milhões de pessoas. Esses dados incluem suas informações no Facebook,preferências de interesse de correspondência, localização, altura, peso, posições políticas, qualificações educacionais e sinais astrológicos – todos os quais poderiam ser usados pelos atacantes para realizar ataques de engenharia social aos usuários.
Além disso, métricas como a localização que foram reveladas mostrando o quão longe um determinado usuário estava também poderiam potencialmente colocar os usuários em perigo físico.
Tipo de dados vazados (Imagem: SecurityEvaluators)
Mas isso não foi tudo. Além disso, a vulnerabilidade também permitiu que o pesquisador aproveitasse os serviços pagos do aplicativo gratuitamente, sugerindo que a empresa também pode perder receita dessa forma. Um exemplo de um desses é o limite de deslizes certos presente que poderia ser facilmente ignorado pela mudança do aplicativo para a versão do site.
Vendo a sensibilidade do problema, Sarda relatou isso à empresa de namoro que aparentemente segundo ela, respondeu após 225 dias via HackerOne e depois começou a corrigir os problemas.
Atualmente, entre esses, os dados do Facebook dos usuários ainda podem ser acessados, o que nos mostra que a empresa tem sido muito não séria na resolução dos problemas. Explicando ainda mais Sarda escreveu em seu relatório que:
O Bumble não está mais usando ids de usuário sequenciais e atualizou seu esquema de criptografia anterior. Isso significa que um invasor não pode mais despejar toda a base de usuários do Bumble usando o ataque como descrito aqui.
A solicitação de API não fornece mais distância em milhas — portanto, rastrear o local via triangulação não é mais uma possibilidade usando a resposta de dados deste ponto final. Um invasor ainda pode usar o ponto final para obter informações como curtidas do Facebook, fotos e outras informações de perfil, como interesses de namoro.
Para concluir, os usuários devem abandonar ou talvez exigir maior urgência das empresas em responder a questões como esta é uma questão de privacidade muito séria. Como a vulnerabilidade foi encontrada em março de 2020, significa até a data em que partes dela foram corrigidas, muitos invasores podem ou podem ter usado indevidamente sem que os usuários soubessem apenas porque a empresa era muito negligente.
Se você é um usuário do aplicativo, pode ser prudente enviar um e-mail para a empresa e solicitar maiores detalhes para saber se você foi afetado.
FONTE: HACKER READ