[Информационная безопасность, Социальные сети и сообщества] Уязвимость в API Bumble выдавала информацию о миллионах пользователей, но исправляли её 200 дней
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
Исследователи из организации Independent Security Evaluators обнаружили уязвимость в приложении для знакомств Bumble. Уязвимость позволяла узнать номер идентификатора каждого пользователя Bumble. Если учетная запись была подключена к Facebook, можно было узнать, каким записям и фото поставил лайк пользователь.Самым опасным было то, что уязвимость позволяла злоумышленнику определить приблизительное местоположение интересующего его пользователя. Кроме того, она давала возможность бесплатно получить доступ к премиум-функциям приложения. По словам Санджаны Сарды, аналитика ISE, для злоумышленника не составило бы труда пользоваться премиум-функциями, такими как неограниченное количество голосов и расширенный поиск.Это стало возможным благодаря тому, как работает API Bumble. Как объяснила Сарда, API Bumble позволял перебирать все номера идентификаторов пользователей, просто добавляя единицу к предыдущему идентификатору. Даже после блокировки в приложении Сарда могла извлекать личную информацию с серверов Bumble. Все это было сделано по «при помощи простого скрипта».«Эти уязвимости относительно просты в использовании, и их можно исправить, уделяя достаточно времени тестированию», — заявила Сарда.По её словам, раз данные о пользователях было так легко получить, это подчеркивает, возможно, неуместное доверие людей к крупным брендам и приложениям, доступным через Apple App Store или Google Play Market. Это «огромная проблема для всех, кто хоть отдаленно заботится о личной информации и конфиденциальности», заключила Сарда.Сарда сообщила о проблемах через HackerOne ещё в марте. Несмотря на неоднократные попытки получить ответ от Bubmle, к 1 ноября уязвимость всё ещё присутствовалав приложении. К 11 ноября часть проблем была устранена. В целом у Bumble ушло почти полгода на то, чтобы исправить уязвимости.«После того, как мы получили предупреждение о проблеме, мы начали многоэтапный процесс, который включал в себя защиту всех пользовательских данных во время внедрения исправления. Основная проблема, связанная с безопасностью пользователей, была решена, и данные не были скомпрометированы».Для сравнения, конкурент Bumble, приложение Hinge, тесно сотрудничал с исследователем ISE Бренданом Ортисом. Летом он сообщил компании о найденных уязвимостях, и проблемы были устранены менее чем за месяц.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Security Week 47: обход защиты компьютера в режиме сна
- [Информационная безопасность, Safari, Браузеры] Предотвращение cross-site tracking в Safari на MacOs
- [Информационная безопасность, Сетевые технологии] Web Application Firewall: работа на опережение
- [Спам и антиспам, Информационная безопасность, Законодательство в IT] Минцифры предложило обязать операторов связи устанавливать системы против спама и фрода
- [Децентрализованные сети, Информационная безопасность, Криптография] Будущее кибербезопасности: блокчейн
- [Информационная безопасность] Организация «Европейские цифровые права» призывает к кампании в поддержку приватности лица человека
- [Информационная безопасность] Ваш компьютер больше не принадлежит вам (перевод)
- [Информационная безопасность, Service Desk, Развитие стартапа, Финансы в IT, IT-компании] Европейские банки в сравнении с российскими как жигули в сравнении с Porsche Cayenne
- [Информационная безопасность] АСУшник смотрит на ИБ
- [Информационная безопасность, Криптография] Швейцарская разведка с 1993 года знала о контроле над шифрованием в стране со стороны ЦРУ
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sotsialnye_seti_i_soobschestva (Социальные сети и сообщества), #_bubmle, #_dejtingi (дейтинги), #_ujazvimosti (уязвимости), #_facebook, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_sotsialnye_seti_i_soobschestva (
Социальные сети и сообщества
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 04-Июл 22:12
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 4 месяца |
|
|
Исследователи из организации Independent Security Evaluators обнаружили уязвимость в приложении для знакомств Bumble. Уязвимость позволяла узнать номер идентификатора каждого пользователя Bumble. Если учетная запись была подключена к Facebook, можно было узнать, каким записям и фото поставил лайк пользователь.Самым опасным было то, что уязвимость позволяла злоумышленнику определить приблизительное местоположение интересующего его пользователя. Кроме того, она давала возможность бесплатно получить доступ к премиум-функциям приложения. По словам Санджаны Сарды, аналитика ISE, для злоумышленника не составило бы труда пользоваться премиум-функциями, такими как неограниченное количество голосов и расширенный поиск.Это стало возможным благодаря тому, как работает API Bumble. Как объяснила Сарда, API Bumble позволял перебирать все номера идентификаторов пользователей, просто добавляя единицу к предыдущему идентификатору. Даже после блокировки в приложении Сарда могла извлекать личную информацию с серверов Bumble. Все это было сделано по «при помощи простого скрипта».«Эти уязвимости относительно просты в использовании, и их можно исправить, уделяя достаточно времени тестированию», — заявила Сарда.По её словам, раз данные о пользователях было так легко получить, это подчеркивает, возможно, неуместное доверие людей к крупным брендам и приложениям, доступным через Apple App Store или Google Play Market. Это «огромная проблема для всех, кто хоть отдаленно заботится о личной информации и конфиденциальности», заключила Сарда.Сарда сообщила о проблемах через HackerOne ещё в марте. Несмотря на неоднократные попытки получить ответ от Bubmle, к 1 ноября уязвимость всё ещё присутствовалав приложении. К 11 ноября часть проблем была устранена. В целом у Bumble ушло почти полгода на то, чтобы исправить уязвимости.«После того, как мы получили предупреждение о проблеме, мы начали многоэтапный процесс, который включал в себя защиту всех пользовательских данных во время внедрения исправления. Основная проблема, связанная с безопасностью пользователей, была решена, и данные не были скомпрометированы».Для сравнения, конкурент Bumble, приложение Hinge, тесно сотрудничал с исследователем ISE Бренданом Ортисом. Летом он сообщил компании о найденных уязвимостях, и проблемы были устранены менее чем за месяц. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_sotsialnye_seti_i_soobschestva ( Социальные сети и сообщества ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 04-Июл 22:12
Часовой пояс: UTC + 5