Une faille de securite Bumble a laisse les donnees de localisation des utilisateurs et les photos de profil exposees pendant environ six mois

Une faille de securite sur l’application de rencontres Bumble aurait quitte l’emplacement et d’autres donnees de profil de multiples utilisateurs au cours des six derniers mois. Ca fut rapporte par la societe de cybersecurite Independent Security Evaluators (ISE), qui affirme qu’en raison en vulnerabilite d’la plate-forme, «un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations et des images de base, meme si l’attaquant reste un utilisateur non verifie avec votre compte verrouille. » Plusieurs chercheurs a egalement constate qu’une vulnerabilite via la plate-forme permettait aux attaquants de contourner le paiement des fonctionnalites premium de Bumble.

Ils confirment qu’il n’y a aucune preuve que nos donnees des https://besthookupwebsites.org/fr/geek2geek-review/ utilisateurs ont ete compromises.

Bumble:

« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty dans le cadre de notre pratique globale de cybersecurite, et ceci reste votre nouvelle exemple de ce partenariat. Apres avoir ete alertes du probleme, nous avons ensuite commence le processus de correction en plusieurs phases qui comprenait la mise en place de controles pour proteger l’ensemble des donnees utilisateur pendant la mise en ?uvre du correctif. Le probleme sous-jacent lie a la securite de l’utilisateur fut resolu et aucune donnee utilisateur n’a ete compromise. »

HackerOne:

« Notre divulgation des vulnerabilites est un parami?tre vital de la posture de securite de toute organisation. S’assurer que les vulnerabilites sont entre les mains des individus qui peuvent les corriger reste essentiel Afin de couvrir les informations critiques. Bumble a une collaboration de longue date avec la communaute des hackers grace a le programme de bug bounty concernant HackerOne . Bien que le souci signale via HackerOne ait ete resolu par l’equipe de securite de Bumble, les informations divulguees au public comprennent des informations depassant de loin cela leur avait ete initialement divulgue de maniere responsable. L’equipe de securite de Bumble travaille 24 heures sur 24 pour s’assurer que tous les problemes de securite seront resolus de suite et a confirme qu’aucune donnee utilisateur n’avait ete compromise. »

Bumble fut informe de la faille en mars, mais a compter du 1er novembre, aucun des problemes n’a ete corrige. Lors des nouveaux tests le 11 novembre, seuls quelques problemes ont ete juges attenues.

« Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Cela signifie qu’un attaquant ne peut plus vider l’ensemble une base d’utilisateurs de Bumble en utilisant l’attaque tel decrit ici. Notre exige d’API ne fournit plus de distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilite avec la reponse des donnees de cet endpoint », confirment nos chercheurs.

tech2 a egalement contacte Bumble pour en connaitre plus sur votre vulnerabilite. Nous n’avons toujours pas recu de reponse d’une societe.

Cependant, la societe de cybersecurite a decouvert qu’un attaquant peut i  chaque fois se servir de le point de terminaison pour obtenir des informations telles que nos likes Facebook, des photos et d’autres renseignements de profil telles que les centres d’interet pour les rencontres. Un utilisateur verrouille peut toujours acceder a l’ensemble de ces precisions.

Mes chercheurs precisent notamment qu’apres que quelques problemes ont ete attenues, des attaquants ne vont pas pouvoir desormais le faire que pour les identifiants cryptes qu’ils possedent deja.

Etant donne que des autres failles de securite ont ete recemment corrigees, Bumble pourrait egalement corriger les autres problemes de securite prochainement.

45secondes est 1 nouveau media, n’hesitez nullement a partager une article i  propos des reseaux sociaux Dans l’optique de nous apporter un solide coup de pouce. ??