Specialista di sicurezza Sanjana Sarda ha eseguito un approfondito analisi del codice della popolare app per appuntamenti Bumble, alla scoperta di diverse vulnerabilità API che potrebbe esporre le informazioni della piattaforma di quasi 100.000 utenti.
La ricercatrice afferma che è davvero facile rilevare questi problemi, anche se la risposta che ha ricevuto dagli sviluppatori dimostra la poca serietà con cui l’azienda affronta questi problemi pur avendo un programma di ricompense alimentato da HackerOne.
“Anche se i problemi delle API non vengono sfruttati come altri errori, questi attacchi possono causare danni significativi“, afferma Sarda, che ha decodificato l’API Bumble e ha trovato più endpoint che elaboravano le azioni senza essere verificati dal server. Per questo motivo, le limitazioni dei servizi Premium sulla piattaforma potrebbero essere eluse da qualsiasi utente con un abbonamento standard utilizzando l’app Web Bumble anziché l’app mobile.
Sarda afferma di essere stata anche in grado di utilizzare la Console per gli sviluppatori di Bumble per accedere alle informazioni da Beeline, una delle funzionalità Premium di Bumble che ti consente di visualizzare le informazioni di tutti gli utenti interessati a un profilo. Tuttavia, la cosa più significativa che Sarda ha scoperto è che l’API consente l’accesso all’endpoint “server_get_user” per elencare gli utenti di Bumble in tutto il mondo e persino recuperare i dati di Facebook associati ai profili delle app di appuntamenti, senza contare che era anche possibile accedere a informazioni come preferenze politiche, segno zodiacale e livello di istruzione, tra le altre cose.
Infine, il ricercatore afferma che le vulnerabilità potrebbero anche consentire agli hacker di analizzare se un utente target ha l’app Bumble installata sul proprio dispositivo e persino di calcolare la propria posizione con un alto grado di precisione.
Sebbene Sarda e il suo team abbiano riferito i loro risultati a Bumble, anche dopo più di 200 giorni senza una risposta hanno deciso di rivelare i loro risultati:
“Dopo aver pubblicato il rapporto, abbiamo ricevuto un’e-mail da HackerOne, sebbene le scadenze fissate dalla comunità della sicurezza informatica fossero già scadute”, aggiunge.