Posté le novembre 16, 2020 à 16:13
BUMBLE MET EN DANGER 95 MILLIONS D’UTILISATEURS EN EXPOSANT DES DONNÉES FACEBOOK
Bumble est l’une des applications de rencontre les plus éthiques qui existent et, selon la personne à qui vous demandez, cela ne veut pas dire grand-chose, ou alors cela veut dire le monde entier. Quoi qu’on en pense, l’application de rencontre compte 95 millions d’utilisateurs, mais des recherches récentes montrent qu’elle ne parvient pas à assurer la sécurité de ces utilisateurs.
Découverte d’une vulnérabilité inquiétante
Independent Security Evaluators, une société de recherche de San Diego, a récemment fait découvrir à ses chercheurs quelque chose de troublant. Même si ces utilisateurs avaient été bannis du service, une véritable mine d’informations sur les données de Bumble était toujours à leur disposition.
Bien que cette vulnérabilité ait déjà été corrigée au début du mois par Bumble lui-même, il a fallu 200 jours à l’entreprise, depuis que les chercheurs l’ont informée, pour y remédier. Grâce à cette vulnérabilité, il est possible pour un seul compte d’obtenir l’identité de chaque utilisateur de Bumble, ce qui est pour le moins troublant.
Si un utilisateur dont le compte Bumble est connecté à son homologue Facebook, tous ses « intérêts » et les pages qu’il aime pourraient être récupérés par le biais de la plateforme de Bumble.
Un hacker potentiel pourrait même aller jusqu’à obtenir des informations sur ce que l’utilisateur Bumble en question recherche chez son partenaire potentiel. De plus, ces acteurs malveillants pourraient voir toutes les photos qu’ils ont téléchargées sur Bumble lui-même.
La vulnérabilité permet jusqu’à localiser une personne
Cependant, l’un des aspects les plus inquiétants de cette vunérabilité déjà mis au point est qu’il a été possible d’obtenir une estimation approximative de la localisation d’un utilisateur de Bumble s’il se trouvait dans la même ville.
Tout ce que l’utilisateur doit faire est de regarder son périmètre « distance en miles ». Si un hacker était suffisamment dévoué, il pourrait usurper une dizaine de comptes, en utilisant ces comptes pour trianguler les coordonnées d’une cible grâce à des calculs astucieux.
L’un des analystes de la sécurité de l’ISE, Sanjana Sarda, a souligné que ces caractéristiques rendraient futile pour un hacker de cibler un utilisateur spécifique.
Sarda avait découvert les vulnérabilités, pour commencer, et a souligné comment les hackers pouvaient tout aussi bien accéder à des contrats à terme de premier ordre, permettant un filtrage avancé et des votes illimités absolument gratuits.
Bumble semble ne pas avoir effectué suffisamment de tests
Tout cela a été réalisé grâce à la façon dont Bumble a développé son interface de programmation d’application, ou API, qui définit comment une application accède aux données informatiques. Dans le cas de Bumble, il accède aux serveurs de l’application qui gère ses données utilisateur.
Sarda a souligné comment l’API de Bumble lui permettait de sonder le serveur pour obtenir des informations sur d’autres utilisateurs de manière répétée, grâce à l’API qui ne fait pas les contrôles et les limites nécessaires.
Un excellent exemple serait qu’elle pourrait énumérer tous les numéros d’identification de chaque utilisateur en ajoutant simplement un numéro à un autre. Sarda a fini par être bloquée, mais l’analyste était encore tout à fait capable d’extraire des données privées des serveurs de Bumble, en faisant tout cela avec, selon ses propres mots, un simple script.
Résolution du problème
Sarda a souligné la relative simplicité de l’exploitation de ces vulnérabilités, en soulignant comment des tests suffisants auraient pu facilement les empêcher d’être là au départ.
Elle a souligné que les problèmes devraient également être facilement résolus, car les corrections potentielles concernent principalement la limitation des taux et la vérification des demandes côté serveur.
Avec la facilité avec laquelle il est possible de voler des données sur chaque utilisateur de Bumble, de vendre ces informations ou de faire sa propre surveillance, Sarda prouve qu’elle a raison.
Les gens font généralement trop confiance aux grandes marques lorsqu’il s’agit de leurs informations privées, en particulier celles disponibles sur le marché de Google Play ou sur l’App Store.
Sarda a déclaré que c’est un problème pour quiconque se préoccupe, même de loin, de sa vie privée et des informations personnelles qu’il montre au monde.
Bumble a finalement réglé le problème, bien qu’il ait fallu plus de six mois pour le faire. Dans sa déclaration publique, un porte-parole a affirmé que Bumble et HackerOne avaient des liens étroits, avec la pratique de la cybersécurité de l’application incluant un programme de primes aux bogues.
Une fois que Bumble a été alerté, il a affirmé que le processus de remédiation en plusieurs phases a été mis en place, avec des contrôles pour protéger toutes les données des utilisateurs pendant la mise en place de la correction. Le porte-parole a déclaré qu’aucune donnée utilisateur n’a été compromise et que le problème a été résolu.