Les failles de sécurité de Bumble, l'une des applications de rencontre les plus populaires aujourd'hui, auraient pu exposer les informations personnelles de l'ensemble de sa base d'utilisateurs, forte de près de 100 millions de personnes.
Les bogues - qui affectaient l'interface de programmation d'application (API) de Bumble et provenaient du fait que le service de rencontres ne vérifiait pas les demandes des utilisateurs côté serveur - ont été découverts par Sanjana Sarda et son équipe d'évaluateurs chez Independent Security Evaluators. En plus de trouver un moyen de contourner le paiement de Bumble Boost, le niveau premium de la plateforme qui offre aux utilisateurs une foule de fonctionnalités avancées, les chercheurs ont découvert des failles de sécurité qu'un attaquant potentiel pourrait exploiter pour voler des données sur tous ses utilisateurs.
Le bogue le plus inquiétant concernait la fonction de filtrage supplémentaire illimité de l'application. Sarda et son équipe ont écrit un script de preuve de concept qui leur a permis de trouver des utilisateurs en envoyant un nombre illimité de requêtes au serveur. Les chercheurs ont pu énumérer tous les utilisateurs de Bumble et récupérer un trésor d'informations à leur sujet. Si un utilisateur accédait à Bumble via son compte Facebook, un cybercriminel aurait pu créer une image complète de lui en récupérant tous ses centres d'intérêt et les pages qu'il aimait.
Un attaquant pourrait potentiellement avoir accès à des données, comme le type de personne que l'utilisateur recherche, ce qui pourrait s'avérer utile pour créer une fausse identité pour une arnaque romantique. Il aurait également accès aux informations que les utilisateurs partagent sur leur profil, comme leur taille, leurs croyances religieuses et leurs tendances politiques. Le chapeau noir pourrait également permettre de localiser les personnes et de voir si elles sont en ligne. Il est intéressant de noter que les chercheurs ont pu récupérer d'autres données sur les utilisateurs même après que Bumble ait verrouillé leur compte.
LECTURE SUPPLÉMENTAIRE : Quand l’amour tourne au cauchemar : escroqueries sur les applications et les sites de rencontre en ligne
L'équipe a également contourné la limite de 100 balayages à droite (ou right swipe) dans un délai de 24 heures. « Après examen plus approfondi, la seule vérification de la limite de balayage se fait par l'intermédiaire du frontal mobile, ce qui signifie qu'il n'y a pas de vérification de la demande API réelle. Comme il n'y a pas de contrôle sur l'interface de l'application web, l'utilisation de l'application web au lieu de l'application mobile implique que les utilisateurs ne seront jamais à court de glissements », précise M. Sarda.
Les chercheurs se sont également penchés sur la fonction Beeline de l'application. En utilisant la console de développement, ils ont trouvé un moyen de voir tous les utilisateurs dans un flux de matchs potentiels. « Il est intéressant de noter qu'elle affiche également leur vote et nous pouvons l'utiliser pour différencier les utilisateurs qui n'ont pas voté de ceux qui ont swipé à droite », toujours selon M. Sarda.
Il a fallu six mois à Bumble pour boucher (presque) toutes les failles. Le 11 novembre, Sarda et son équipe ont constaté qu'il y avait peut-être encore du travail à faire. Il précise : « Un attaquant peut toujours utiliser le point final pour obtenir des informations telles que les goûts de Facebook, des photos et d'autres informations de profil comme les intérêts de rencontre. Cela fonctionne toujours pour un utilisateur non validé et bloqué, donc un attaquant peut créer un nombre illimité de faux comptes pour voler la totalité les données de l'utilisateur. »
Bumble devrait résoudre l’ensemble de ces problèmes dans les prochains jours.