Un bug d’API de Bumble exposait les données des utilisateurs

Après avoir examiné de plus près le code du site de rencontre populaire et de l’application Bumble, où les femmes engagent généralement la conversation, Sanjana Sarda, chercheuse indépendante en sécurité, a découvert des vulnérabilités d’API. Celles-ci lui ont non seulement permis de contourner le paiement des services premium Bumble Boost, mais elle a également pu accéder aux informations personnelles de l’ensemble des utilisateurs de la plate-forme, soit près de 100 millions.

Sarda a déclaré que ces problèmes étaient faciles à trouver et que la réponse de la société à son rapport sur les failles montre que Bumble doit prendre plus au sérieux les tests et la divulgation des vulnérabilités. HackerOne, la plate-forme qui héberge le programme de bug-bounty et de rapport de Bumble, a déclaré que le service de rencontre a en fait une solide histoire de collaboration avec la communauté de la cybersécurité.

Les détails du bug de Bumble

«Il m’a fallu environ deux jours pour trouver les vulnérabilités initiales et environ deux jours de plus pour proposer une preuve de concept pour d’autres exploits basés sur les mêmes vulnérabilités», a déclaré Sarda. «Bien que les problèmes d’API ne soient pas aussi connus que l’injection SQL, ces problèmes peuvent causer des dégâts importants.»

Elle a procédé à une ingénierie inverse de l’API de Bumble et a trouvé plusieurs points de terminaison qui traitaient des actions sans être vérifiés par le serveur. Cela signifiait que les limites des services premium, comme le nombre total de swipe positifs par jour autorisés (swipe vers la droite signifiant que vous êtes intéressé), ont simplement été contournées en utilisant l’application Web de Bumble plutôt que la version mobile.

Un autre service premium de Bumble Boost s’appelle The Beeline et permet aux utilisateurs de voir toutes les personnes qui ont swipé à droite sur leur profil. Ici, Sarda a expliqué qu’elle avait utilisé la Developer Console pour trouver un point de terminaison qui affichait chaque utilisateur dans un flux de correspondance potentiel. À partir de là, elle a pu trouver les codes de ceux qui ont swipé à droite et de ceux qui ne l’ont pas fait.

Mais au-delà des services premium, l’API permet également à Sarda d’accéder au point de terminaison «server_get_user» et d’énumérer les utilisateurs mondiaux de Bumble. Elle a même pu récupérer les données Facebook des utilisateurs et les données de «souhait» de Bumble, qui vous indiquent le type de correspondance qu’ils recherchent. Les champs «profil» étaient également accessibles, contenant des informations personnelles comme les tendances politiques, les signes astrologiques, l’éducation et même la taille et le poids.

bumble

Elle a signalé que la vulnérabilité pourrait également permettre à un attaquant de déterminer si un utilisateur donné a installé l’application mobile et s’il est de la même ville, et de manière inquiétante, sa distance en kilomètres.

« Il s’agit d’une violation de la vie privée des utilisateurs car des utilisateurs spécifiques peuvent être ciblés, les données des utilisateurs peuvent être commercialisées ou utilisées comme ensembles de formation pour des modèles d’apprentissage automatique du visage, et les attaquants peuvent utiliser la triangulation pour détecter les allées et venues générales d’un utilisateur spécifique », a déclaré Sarda. « La révélation de l’orientation sexuelle d’un utilisateur et d’autres informations de profil peut également avoir des conséquences réelles. »

Sur une note plus légère, Sarda a également déclaré que lors de ses tests, elle avait pu voir si quelqu’un avait été identifié par Bumble comme «beau» ou non, mais avait trouvé quelque chose de très curieux.

«[Je] n’ai toujours trouvé personne que Bumble pense être beau», a-t-elle déclaré.

Signalement de la vulnérabilité de l’API

Sarda a déclaré qu’elle et son équipe de l’ISE avaient rapporté leurs découvertes en privé à Bumble pour tenter d’atténuer les vulnérabilités avant de rendre publique leur recherche.

«Après 225 jours de silence de la part de l’entreprise, nous sommes passés au plan de publication de la recherche», a déclaré Sarda. « Une fois que nous avons commencé à parler de publication, nous avons reçu un e-mail de HackerOne le 11/11/20 sur la façon dont ‘Bumble tient à éviter que des détails ne soient divulgués à la presse’. »

HackerOne a ensuite tenté de résoudre certains des problèmes, a déclaré Sarda, mais pas tous. Sarda a découvert quand elle a retesté que Bumble n’utilisait plus d’identifiants d’utilisateurs séquentiels et a mis à jour son cryptage.

« Cela signifie que je ne peux plus récupérer toute la base d’utilisateurs de Bumble », a-t-elle déclaré.

De plus, la requête API qui à un moment donné donnait une distance en kilomètres à un autre utilisateur ne fonctionne plus. Cependant, l’accès à d’autres informations de Facebook est toujours disponible. Sarda a déclaré qu’elle s’attendait à ce que Bumble résolve ces problèmes dans les prochains jours.

«Nous avons vu que le rapport HackerOne n° 834930 a été résolu (4,3 – gravité moyenne) et Bumble a offert une prime de 500$», a-t-elle déclaré. «Nous n’avons pas accepté cette prime car notre objectif est d’aider Bumble à résoudre complètement tous ses problèmes en effectuant des tests d’atténuation.»

bumble

Sarda a expliqué qu’elle avait retesté le 1er novembre et que tous les problèmes étaient toujours présents. Au 11 novembre, «certains problèmes avaient été partiellement atténués». Elle a ajouté que cela indique que Bumble n’était pas assez réactif avec leur programme de divulgation de vulnérabilité (VDP).

HackerOne donne une version un peu différente.

«La divulgation des vulnérabilités est un élément vital de la posture de sécurité de toute organisation», a déclaré HackerOne.

«S’assurer que les vulnérabilités sont entre les mains des personnes qui peuvent les corriger est essentiel pour protéger les informations critiques. Bumble a une histoire de collaboration avec la communauté des hackers éthique à travers son programme bug-bounty sur HackerOne. Bien que le problème signalé sur HackerOne ait été résolu par l’équipe de sécurité de Bumble, les informations divulguées au public comprennent des informations dépassant de loin ce qui leur avait été initialement divulgué de manière responsable. L’équipe de sécurité de Bumble travaille 24 heures sur 24 pour s’assurer que tous les problèmes de sécurité sont résolus rapidement et a confirmé qu’aucune donnée utilisateur n’a été compromise. « 

Gérer les vulnérabilités d’API

Les API sont un vecteur d’attaque négligé et sont de plus en plus utilisées par les développeurs, selon Jason Kent, de Cequence Security.

«L’utilisation de l’API a explosé tant pour les développeurs que pour les individus malveillants», a déclaré Kent. «Les mêmes avantages pour les développeurs qui permettent la vitesse et la flexibilité sont exploités pour exécuter une attaque entraînant une fraude et une perte de données. Dans de nombreux cas, la cause première de l’incident est une erreur humaine, telle que des messages d’erreur détaillés ou un contrôle d’accès et une authentification mal configurés. La liste continue. »

Kent a ajouté qu’il incombait aux équipes de sécurité et aux centres d’excellence API de déterminer comment améliorer leur sécurité.

Et en effet, Bumble n’est pas seul. Des applications de rencontres similaires comme OKCupid et Match ont également rencontré des problèmes de vulnérabilité de confidentialité des données dans le passé.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x