Une faille de securite sur l’application de rencontres Bumble aurait quitte l’emplacement et d’autres donnees de profil de multiples utilisateurs i l’occasion des six derniers mois. Cela a ete rapporte par la societe de cybersecurite Independent Security Evaluators (ISE), qui affirme qu’en raison d’une vulnerabilite de la plate-forme, «un attaquant va vider toute la base d’utilisateurs de Bumble avec des informations et des images de base, meme si l’attaquant reste un utilisateur non verifie avec votre compte verrouille. » Plusieurs chercheurs a egalement constate qu’une vulnerabilite concernant la plate-forme permettait a toutes les attaquants de contourner le paiement des fonctionnalites premium de Bumble.
Ils confirment qu’il n’y a aucune preuve que des precisions des utilisateurs ont ete compromises.
Bumble:
« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty au cadre de notre pratique globale de cybersecurite, et ceci est 1 autre modi?le de ce partenariat. Apres avoir ete alertes du probleme, nous avons ensuite commence le processus de correction en plusieurs phases qui comprenait la mise en place de controles Afin de couvrir toutes les precisions utilisateur pendant la mise en ?uvre du correctif. Le souci sous-jacent lie a la securite de l’utilisateur a ete resolu et aucune donnee utilisateur n’a ete compromise. »
HackerOne:
« Notre divulgation des vulnerabilites est un parami?tre vital en posture de securite de toute organisation. S’assurer que les vulnerabilites paraissent entre les mains des gens qui peuvent nos corriger est essentiel Afin de proteger nos precisions critiques. Bumble a une collaboration de longue date avec la communaute des hackers grace a le programme de bug bounty dans HackerOne . Bien que le probleme signale sur HackerOne ait ete resolu par l’equipe de securite de Bumble, les informations divulguees au public comprennent des informations depassant de loin ce qui leur avait ete initialement divulgue de maniere responsable. L’equipe de securite de Bumble travaille 24 heures sur 24 pour s’assurer que l’ensemble des problemes de securite seront resolus facilement et a confirme qu’aucune donnee utilisateur n’avait ete compromise. »
Bumble a ete informe en faille en mars, mais a compter du 1er novembre, aucun des problemes n’a ete corrige. Lors des nouveaux tests le 11 novembre, seuls des problemes ont ete juges attenues.
« Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et https://besthookupwebsites.org/fr/dil-mil-review/ a foutu a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne pourra plus vider l’ensemble en base d’utilisateurs de Bumble avec l’attaque tel decrit ici. J’ai requi?te d’API ne fournit plus de distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilite avec la reponse des donnees de cet endpoint », confirment des chercheurs.
tech2 a egalement contacte Bumble pour en connaitre plus sur votre vulnerabilite. Nous n’avons pas encore recu de reponse une agence.
Cependant, la societe de cybersecurite a decouvert qu’un attaquant est en mesure de toujours choisir le point de terminaison pour obtenir des informations telles que les likes Facebook, des photos et d’autres renseignements de profil telles que des complexes d’interet pour les rencontres. Un utilisateur verrouille peut toujours acceder a l’ensemble de ces informations.
Mes chercheurs precisent notamment qu’apres que des problemes ont ete attenues, nos attaquants ne peuvent desormais le Realiser que pour nos identifiants cryptes qu’ils possedent deja.
Etant donne que nos autres failles de securite ont ete recemment corrigees, Bumble pourrait egalement corriger les autres problemes de securite prochainement.
45secondes est un nouveau media, n’hesitez pas a partager une article sur les reseaux sociaux pour nous apporter un solide coup de pouce. ??
