Уязвимость в API Bumble выдавала информацию о миллионах пользователей, но исправляли её 200 дней

?v=1

Исследователи из организации Independent Security Evaluators обнаружили уязвимость в приложении для знакомств Bumble. Уязвимость позволяла узнать номер идентификатора каждого пользователя Bumble. Если учетная запись была подключена к Facebook, можно было узнать, каким записям и фото поставил лайк пользователь.

Самым опасным было то, что уязвимость позволяла злоумышленнику определить приблизительное местоположение интересующего его пользователя. Кроме того, она давала возможность бесплатно получить доступ к премиум-функциям приложения. По словам Санджаны Сарды, аналитика ISE, для злоумышленника не составило бы труда пользоваться премиум-функциями, такими как неограниченное количество голосов и расширенный поиск.

Это стало возможным благодаря тому, как работает API Bumble. Как объяснила Сарда, API Bumble позволял перебирать все номера идентификаторов пользователей, просто добавляя единицу к предыдущему идентификатору. Даже после блокировки в приложении Сарда могла извлекать личную информацию с серверов Bumble. Все это было сделано по «при помощи простого скрипта».

«Эти уязвимости относительно просты в использовании, и их можно исправить, уделяя достаточно времени тестированию», — заявила Сарда.

По её словам, раз данные о пользователях было так легко получить, это подчеркивает, возможно, неуместное доверие людей к крупным брендам и приложениям, доступным через Apple App Store или Google Play Market. Это «огромная проблема для всех, кто хоть отдаленно заботится о личной информации и конфиденциальности», заключила Сарда.

Сарда сообщила о проблемах через HackerOne ещё в марте. Несмотря на неоднократные попытки получить ответ от Bubmle, к 1 ноября уязвимость всё ещё присутствовала в приложении. К 11 ноября часть проблем была устранена. В целом у Bumble ушло почти полгода на то, чтобы исправить уязвимости.

«После того, как мы получили предупреждение о проблеме, мы начали многоэтапный процесс, который включал в себя защиту всех пользовательских данных во время внедрения исправления. Основная проблема, связанная с безопасностью пользователей, была решена, и данные не были скомпрометированы».

Для сравнения, конкурент Bumble, приложение Hinge, тесно сотрудничал с исследователем ISE Бренданом Ортисом. Летом он сообщил компании о найденных уязвимостях, и проблемы были устранены менее чем за месяц.

© Habrahabr.ru