Sicherheitsrelevante Schwachstellen bei Bumble, einer beliebten Dating-App, könnten die persönlichen Informationen der gesamten, fast 100 Millionen Nutzer großen, Community gefährdet haben.
Die Fehler wurden von Sanjana Sarda und ihrem Team von Independent Security Evaluators entdeckt. Sie betrafen die API (Application Programming Interface) von Bumble und waren darauf zurückzuführen, dass der Dating-Service die Benutzeranforderungen nicht serverseitig überprüfte. Die Forscher fanden außerdem eine Möglichkeit, die Bezahlung von Bumble Boost zu umgehen, dem Premium-Service der Plattform, und entdeckten Sicherheitslücken, die ein potenzieller Angreifer hätte ausnutzen können, um Daten über alle Benutzer des Netzwerks zu stehlen.
Nachdem die Forscher einen Weg gefunden hatten, die Überprüfungen der Plattform zu umgehen, konnten sie auf Daten aller Bumble-Benutzer zugreifen und einen wahren Informationsschatz über sie abrufen. Wenn sich ein Benutzer mit seinem Facebook-Konto bei Bumble angemeldet hätte, hätte ein Cyberkrimineller leicht ein umfassendes Bild von ihm erstellen können, da er verschiedene Daten zu seinen Aktivitäten auf Facebook hätte abrufen können.
Da Bumble eine Dating-Plattform ist, hätte ein Angreifer möglicherweise auch Zugriff auf Daten zu den Dating-Interessen der Nutzer erhalten können. Damit wäre es zum Beispiel viel leichter gefälschte Profile für einen Dating-Betrug zu erstellen. Außerdem hätten sie Zugriff auf die Informationen, die die Benutzer in ihrem Profil teilen, wie z. B. Größe, religiöse Überzeugungen und politische Neigungen. Ein Black Hat hätte auch die Standorte der Personen ermitteln oder feststellen können, ob sie online waren.
Interessant ist auch, dass die Forscher noch weitere Benutzerdaten abrufen konnten, selbst nachdem Bumble ihr Konto gesperrt hatte.
Und die Liste der Forscher ist noch länger: Das Team konnte außerdem das Limit von 100 Swipes innerhalb eines Zeitraums von 24 Stunden umgehen. „Bei weiterer Prüfung erfolgt die einzige Überprüfung des Swipe-Limits über das mobile Front-End, was bedeutet, dass die tatsächliche API-Anforderung nicht überprüft wird. Da das Front-End der Webanwendung nicht überprüft wird, bedeutet die Verwendung der Webanwendung anstelle der mobilen App, dass den Benutzern niemals die Swipes ausgehen “, sagte Sarda.
Die Forscher haben auch die beliebte Beeline-Funktion der App untersucht. Mithilfe der Entwicklerkonsole haben sie eine Möglichkeit gefunden, alle Benutzer in einem potenziellen Match-Feed anzuzeigen. "Interessant ist jedoch, dass auch ihre Wahl angezeigt wird. Wir können damit zwischen Benutzern, die nicht gewählt haben, und Benutzern, die nach rechts gewischt haben, unterscheiden", sagte Sarda.
Bumble brauchte insgesamt sechs Monate, um (fast) alle Bugs und Lücken zu beseitigen. Am 11. November stellten Sarda und ihr Team allerdings fest, dass möglicherweise noch weitere Löcher zu stopfen sind. „Ein Angreifer kann die Schnittstelle weiterhin dazu verwenden, um Informationen wie Facebook-Likes, Bilder und andere Profilinformationen, wie Dating-Interessen, abzurufen. Dies funktioniert immer noch für einen nicht-validierten, ausgeloggten Benutzer, sodass ein Angreifer unbegrenzt gefälschte Konten erstellen kann, um Benutzerdaten zu sammeln“, sagte Sarda.
Es wird angenommen, dass Bumble die Probleme in den kommenden Tagen löst.