in

Une faille de sécurité Bumble a laissé les données de localisation des utilisateurs et les photos de profil exposées pendant plus de six mois

Une faille de sécurité sur l’application de rencontres Bumble aurait quitté l’emplacement et d’autres données de profil de nombreux utilisateurs au cours des six derniers mois. Cela a été rapporté par la société de cybersécurité Independent Security Evaluators (ISE), qui affirme qu’en raison de la vulnérabilité de la plate-forme, «un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations et des images de base, même si l’attaquant est un utilisateur non vérifié avec un compte verrouillé.  » Des chercheurs a également constaté qu’une vulnérabilité sur la plate-forme permettait aux attaquants de contourner le paiement des fonctionnalités premium de Bumble.

[MAJ 18/11/2020] Suite à notre article, nous vous transmettons une déclaration de Bumble et de son partenaire HackerOne.

Ils confirment qu’il n’y a aucune preuve que les données des utilisateurs ont été compromises.

Bumble :

« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty dans le cadre de notre pratique globale de cybersécurité, et ceci est un autre exemple de ce partenariat. Après avoir été alertés du problème, nous avons ensuite commencé le processus de correction en plusieurs phases qui comprenait la mise en place de contrôles pour protéger toutes les données utilisateur pendant la mise en œuvre du correctif. Le problème sous-jacent lié à la sécurité de l’utilisateur a été résolu et aucune donnée utilisateur n’a été compromise. »

HackerOne :

« La divulgation des vulnérabilités est un élément vital de la posture de sécurité de toute organisation. S’assurer que les vulnérabilités sont entre les mains des personnes qui peuvent les corriger est essentiel pour protéger les informations critiques. Bumble a une collaboration de longue date avec la communauté des hackers grâce à son programme de bug bounty sur HackerOne . Bien que le problème signalé sur HackerOne ait été résolu par l’équipe de sécurité de Bumble, les informations divulguées au public comprennent des informations dépassant de loin ce qui leur avait été initialement divulgué de manière responsable. L’équipe de sécurité de Bumble travaille 24 heures sur 24 pour s’assurer que tous les problèmes de sécurité sont résolus rapidement et a confirmé qu’aucune donnée utilisateur n’avait été compromise. »

Bumble a été informé de la faille en mars, mais à compter du 1er novembre, aucun des problèmes n’a été corrigé. Lors des nouveaux tests le 11 novembre, seuls quelques problèmes ont été jugés atténués.

 Une faille de sécurité Bumble a laissé les données de localisation des utilisateurs et les photos de profil exposées pendant plus de six mois

« Bumble n’utilise plus d’identifiants d’utilisateurs séquentiels et a mis à jour son schéma de chiffrement précédent. Cela signifie qu’un attaquant ne peut plus vider l’ensemble de la base d’utilisateurs de Bumble en utilisant l’attaque comme décrit ici. La demande d’API ne fournit plus de distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilité en utilisant la réponse des données de cet endpoint », confirment les chercheurs.

tech2 a également contacté Bumble pour en savoir plus sur la vulnérabilité. Nous n’avons pas encore reçu de réponse de la société.

Cependant, la société de cybersécurité a découvert qu’un attaquant peut toujours utiliser le point de terminaison pour obtenir des informations telles que les likes Facebook, des photos et d’autres informations de profil telles que les centres d’intérêt pour les rencontres. Un utilisateur verrouillé peut toujours accéder à toutes ces informations.

Les chercheurs précisent notamment qu’après que quelques problèmes ont été atténués, les attaquants ne peuvent désormais le faire que pour les identifiants cryptés qu’ils possèdent déjà.

Étant donné que les autres failles de sécurité ont été récemment corrigées, Bumble devrait également corriger les autres problèmes de sécurité prochainement.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. ?