L’app di incontri Bumble mette a rischio i 95 milioni di utenti Facebook

Bumble, app incontri
(shutterstock.com)
Share
Bumble, app incontri
(shutterstock.com)

Articolo di Thomas Brewster su Forbes.com

Bumble è orgogliosa di essere una delle app di appuntamenti più etiche. Ma sta facendo abbastanza per proteggere i dati privati ​​dei suoi 95 milioni di utenti? In un certo senso, non così tanto, secondo una ricerca mostrata a Forbes prima del suo rilascio pubblico.

I ricercatori dell’Independent Security Evaluators di San Diego hanno scoperto che anche se fossero stati banditi dal servizio, avrebbero potuto acquisire una grande quantità di informazioni sulle persone utilizzando Bumble. Prima che i difetti venissero risolti all’inizio di questo mese, essendo stati presenti per almeno 200 giorni da quando i ricercatori hanno avvisato Bumble, questi potevano acquisire le identità di ogni utente della app. Se un account era collegato a Facebook, era possibile infatti recuperare tutti i suoi “interessi” o le pagine che gli erano piaciute. Un hacker avrebbe potuto anche acquisire informazioni sul tipo esatto di persona che un utente di Bumble stava cercando e su tutte le immagini che aveva caricato sull’app.

Forse la cosa più preoccupante è che se l’utente si fosse trovato a risiedere nella stessa città dell’hacker, il pirata informatico avrebbe facilmente potuto ottenere la sua posizione approssimativa osservando la “distanza in miglia” che li separava. Un utente malintenzionato avrebbe quindi potuto falsificare le posizioni di una manciata di account e utilizzare la matematica per cercare di triangolare le coordinate di un obiettivo.

“Questo è semplice quando si prende di mira un utente specifico”, ha detto Sanjana Sarda, analista di sicurezza presso Ise, che ha scoperto i problemi. Per gli hacker era anche ‘banale’ accedere a funzionalità premium come voti illimitati e filtri avanzati gratuiti, ha aggiunto Sarda.

Tutto ciò è stato possibile a causa del modo in cui funzionavano l’Api o l’interfaccia di programmazione dell’applicazione di Bumble. Pensa a un’Api come al software che definisce il modo in cui un’app o un set di app possono accedere ai dati da un computer. In questo caso il computer è il server Bumble che gestisce i dati dell’utente.

Sarda ha detto che l’Api di Bumble non aveva eseguito i controlli necessari e non presentava limiti che le le avrebbero consentito di sondare ripetutamente il server per informazioni su altri utenti. Ad esempio, avrebbe potuto enumerare tutti i numeri di ID utente semplicemente aggiungendone uno all’ID precedente. Anche quando il difetto è stata bloccato, Sarda è stata in grado di continuare a prelevare dai server di Bumble quelli che avrebbero dovuto essere dati privati ​. Tutto questo è stato fatto con quello che lei dice essere un ‘semplice script’.

“Questi problemi sono relativamente semplici da sfruttare e un numero sufficiente di test li rimuoverebbe dalla produzione. Allo stesso modo, la risoluzione di questi problemi dovrebbe essere relativamente facile poiché le potenziali correzioni implicano la verifica della richiesta lato server e la limitazione della velocità”, ha affermato Sarda.

Considerando come fosse così facile rubare dati su tutti gli utenti e potenzialmente eseguire la sorveglianza o rivendere le informazioni, l’accaduto evidenzia la fiducia forse mal riposta che le persone hanno nei grandi marchi e nelle app disponibili attraverso l’App Store Apple o Google Play, ha aggiunto Sarda. In definitiva, questo è un “problema enorme per tutti coloro che non si preoccupano neanche lontanamente delle informazioni personali e della privacy”.

Bumble, difetti risolti… sei mesi dopo

Anche se ci sono voluti circa sei mesi, Bumble ha risolto i problemi all’inizio di questo mese. Un portavoce ha dichiarato: “Bumble ha avuto una lunga storia di collaborazione con HackerOne e il suo programma di bug bounty come parte della nostra pratica generale di sicurezza informatica, e questo è un altro esempio di quella partnership. Dopo essere stati avvisati del problema, abbiamo quindi avviato il processo di riparazione in più fasi che includeva l’implementazione dei controlli per proteggere tutti i dati dell’utente durante l’attività di correzione. Il problema relativo alla sicurezza dell’utente è stato risolto e nessun dato è stato compromesso”.

Sarda ha rivelato i problemi a marzo. Da allora, nonostante i ripetuti tentativi di ottenere una risposta tramite il sito web di divulgazione delle vulnerabilità di HackerOne, Bumble non ne ha fornita una. Il 1° novembre Sarda ha affermato che le vulnerabilità erano ancora presenti nell’app. Poi, all’inizio di questo mese, Bumble ha iniziato a risolvere i problemi.

Di contro, il rivale di Bumble Hinge ha lavorato a stretto contatto con il ricercatore Ise Brendan Ortiz quando egli ha fornito informazioni sulle vulnerabilità all’app di appuntamenti di proprietà di Match durante l’estate. Secondo la cronologia fornita da Ortiz, la società si è persino offerta di fornire l’accesso ai team di sicurezza incaricati di tappare i buchi nel software. I problemi sono stati risolti in meno di un mese.