Une faille de securite sur l’application de rencontres Bumble aurait quitte l’emplacement et d’autres donnees de profil maints utilisateurs i  l’occasion des six derniers mois. Cela fut rapporte par la societe de cybersecurite Independent Security Evaluators (ISE), qui affirme qu’en raison de la vulnerabilite une plate-forme, «un attaquant va vider toute la base d’utilisateurs de Bumble avec des informations et des images de base, aussi si l’attaquant est 1 utilisateur non verifie avec votre compte verrouille. » Plusieurs chercheurs a egalement constate qu’une vulnerabilite concernant la plate-forme permettait a toutes les attaquants de contourner le paiement des fonctionnalites premium de Bumble.

Ils confirment qu’il n’y a aucune preuve que des informations des utilisateurs ont ete compromises.

Bumble:

« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty au cadre de notre pratique globale de cybersecurite, et ceci est un autre modi?le de votre partenariat. Apres avoir ete alertes du probleme, nous avons ensuite commence le processus de correction en plusieurs phases qui comprenait la mise en place de controles pour proteger l’integralite des donnees utilisateur pendant la mise en ?uvre du correctif. Le probleme sous-jacent lie a la securite de l’utilisateur fut resolu et aucune donnee utilisateur n’a ete compromise. »

HackerOne:

« La divulgation des vulnerabilites est un criti?re vital d’la posture de securite de toute organisation. S’assurer que les vulnerabilites paraissent entre https://besthookupwebsites.org/fr/dominicancupid-review/ les mains des individus qui peuvent des corriger reste essentiel pour abriter nos renseignements critiques. Bumble a une collaboration de longue date avec la communaute des hackers grace a son programme de bug bounty concernant HackerOne . Correctement que le probleme signale via HackerOne ait ete resolu par l’equipe de securite de Bumble, les renseignements divulguees au public comprennent des informations depassant de loin et cela leur avait ete initialement divulgue de maniere responsable. L’equipe de securite de Bumble travaille 24 heures sur 24 pour s’assurer que la totalite des problemes de securite paraissent resolus facilement et a confirme qu’aucune donnee utilisateur n’avait ete compromise. »

Bumble a ete informe d’la faille en mars, mais a compter du 1er novembre, aucun des problemes n’a ete corrige. Lors des nouveaux tests le 11 novembre, seuls plusieurs problemes ont ete juges attenues.

« Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour le schema de chiffrement precedent. Cela signifie qu’un attaquant ne va plus vider l’ensemble une base d’utilisateurs de Bumble en utilisant l’attaque comme decrit ici. Notre exige d’API ne fournit environ distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilite avec la reponse des donnees de cet endpoint », confirment les chercheurs.

tech2 a egalement contacte Bumble pour en connaitre plus sur la vulnerabilite. Nous n’avons toujours pas recu de reponse d’une societe.

Cependant, la societe de cybersecurite a decouvert qu’un attaquant est en mesure de forcement choisir le point de terminaison pour obtenir des informations telles que les likes Facebook, des photos et d’autres precisions de profil telles que des complexes d’interet concernant des rencontres. Un utilisateur verrouille peut toujours acceder a toutes ces precisions.

Mes chercheurs precisent en particulier qu’apres que quelques problemes ont ete attenues, les attaquants ne vont pas pouvoir desormais le Realiser que pour les identifiants cryptes qu’ils possedent deja.

Etant donne que des autres failles de securite ont ete recemment corrigees, Bumble pourrait egalement corriger les autres problemes de securite prochainement.

45secondes est un nouveau media, n’hesitez gui?re a partager notre article sur les reseaux sociaux Dans l’optique de nous donner un solide coup de pouce. ??