Actualités

Bumble : nombreuses brèches sécuritaires de données pour le site de rencontre !

Depuis le 30 Mars 2020, l’équipe ISE Security a décortiqué le trafic-réseau de l’application mobile Bumble, permettant de faire des rencontres amicales ou amoureuses sur l’Internet : en pratiquant une enquête par ingénierie inversée, et en croisant certaines données liées aux votes et aux activités-utilisateurs (dont la géolocalisation), plusieurs vulnérabilités ont été mises en relief au sein de l’API.

 

 

Voici un condensé des données mises à nues :

 

  • Fonction “beeline” (sélection par swipe-écran) : votes, genre, profil, pseudo, albums, tchats,
  • “Service worker” : actions, codes-erreur, permissions,
  • Ficher “dex2jar” : accès à la localisation,
  • Vote ou filtre (script) : ciblage avancé pour retrouver spécifiquement un utilisateur donné,
  • Album (via un agent-user) : descriptif, études, fumeur ou non, boissons, votes, préférences politiques et religieuses.

 

Lors du nouveau test des problèmes suivants le 11 novembre 2020, certains problèmes avaient été partiellement atténués. Bumble n’utilise plus d’identifiants d’utilisateurs séquentiels et a mis à jour son schéma de chiffrement précédent. Cela signifie qu’un attaquant ne peut plus vider toute la base d’utilisateurs de Bumble […] la demande d’API ne fournit plus la distance en miles. Par conséquent, le suivi de l’emplacement par triangulation n’est plus possible à l’aide de la réponse aux données de ce point de terminaison. Un attaquant peut toujours utiliser le point de terminaison pour obtenir des informations telles que les likes Facebook, des photos et d’autres informations de profil telles que les centres d’intérêt pour les rencontres. Cela fonctionne toujours pour un utilisateur verrouillé non validé, de sorte qu’un attaquant peut créer un nombre illimité de faux comptes pour vider les données utilisateur. Cependant, les attaquants ne peuvent le faire que pour les identifiants chiffrés qu’ils possèdent déjà (qui sont mis à disposition des personnes proches de vous) […] les attaques visant à contourner le paiement des autres fonctionnalités premium de Bumble fonctionnent toujours“, confirme en note de mise à jour du billet sécuritaire, le 14 Novembre dernier, Sanjana Sarda.

Bien que signalée fin Mars 2020, la faille, malgré trois tentatives vaines de contact à l’éditeur en Juillet dernier, a été colmatée – partiellement, donc, selon les récentes conclusions de l’équipe sécuritaire – depuis le 12 Novembre, il y a quelques jours… A veiller !

 

 

Source : Blog Security Evaluators – 1er et 11 Novembre 2020 – Bumble : collecte de données depuis l’API.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1