Une faille de securite sur l’application de rencontres Bumble aurait quitte l’emplacement et d’autres donnees de profil maints utilisateurs au cours des six derniers mois. Ca fut rapporte par la societe de cybersecurite Independent Security Evaluators (ISE), qui affirme qu’en raison d’une vulnerabilite en plate-forme, «un attaquant pourra vider toute la base d’utilisateurs de Bumble avec des informations et des images d’origine, aussi si l’attaquant reste 1 utilisateur non verifie avec votre compte verrouille. » Plusieurs chercheurs a egalement constate qu’une vulnerabilite dans la plate-forme permettait a toutes les attaquants de contourner le paiement des fonctionnalites premium de Bumble.
Ils confirment qu’il n’y a aucune preuve que les donnees des utilisateurs ont ete compromises.
Bumble:
« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty au cadre de notre pratique globale de cybersecurite, ainsi, ceci est 1 autre modi?le de votre partenariat. Apres avoir ete alertes du probleme, nous avons ensuite commence le processus de correction en plusieurs phases qui comprenait la mise en place de controles pour couvrir chacune des donnees utilisateur pendant la mise en ?uvre du correctif. Le souci sous-jacent lie a la securite de l’utilisateur fut resolu et aucune donnee utilisateur n’a ete compromise. »
HackerOne:
« Notre divulgation des vulnerabilites est un element vital de la posture de securite de toute organisation. S’assurer que les vulnerabilites paraissent entre les mains des gens qui peuvent nos corriger reste essentiel Afin de abriter les renseignements critiques. Bumble a une collaboration de longue date avec la communaute des hackers grace a le programme de bug bounty via HackerOne . Correctement que le souci signale dans HackerOne ait ete resolu par l’equipe de securite de Bumble, les renseignements divulguees au public comprennent des informations depassant de loin cela leur avait ete initialement divulgue de maniere responsable. L’equipe de securite de Bumble travaille 24 heures sur 24 concernant s’assurer que tous les problemes de securite sont resolus de suite et a confirme qu’aucune donnee utilisateur n’avait ete compromise. »
Bumble a ete informe de la faille en mars, mais a compter du 1er novembre, aucun des problemes n’a ete corrige. Lors des nouveaux tests le 11 novembre, seuls deux problemes ont ete juges attenues.
« Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne est en mesure de plus vider l’ensemble une base d’utilisateurs de Bumble en utilisant l’attaque tel decrit ici. Notre demande d’API ne fournit environ distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilite en utilisant la reponse des donnees de cet endpoint », confirment des chercheurs.
tech2 a egalement contacte Bumble pour en savoir plus sur la vulnerabilite. Nous n’avons pas encore recu de reponse d’une societe.
Cependant, la societe de cybersecurite a decouvert qu’un attaquant pourra toujours utiliser le point de terminaison Afin de obtenir des informations telles que nos likes Facebook, des photos et d’autres precisions de profil telles que des centres d’interet concernant nos rencontres. Un utilisateur verrouille peut toujours acceder a l’ensemble de ces informations.
Mes chercheurs precisent en particulier qu’apres que deux problemes ont ete attenues, des attaquants ne peuvent desormais le faire que pour https://besthookupwebsites.org/fr/jackd-review/ les identifiants cryptes qu’ils possedent deja.
Du fait que des autres failles de securite ont ete recemment corrigees, Bumble pourrait egalement corriger les autres problemes de securite prochainement.
45secondes est 1 nouveau media, n’hesitez jamais a partager une article sur les reseaux sociaux pour nous donner un solide coup de pouce. ??