Le niveau de sécurité de Bumble, un service de rencontre similaire à Tinder qui compte presque 100 millions d’utilisateurs laisse franchement à désirer. Des chercheurs en sécurité d’Independent Security Evaluators (ISE) ont analysé l’interface de programmation de ce logiciel et découvert toute une série de failles, dont certaines ont été corrigées depuis.
Ainsi, il était possible de siphonner toute la base d’utilisateurs, simplement en faisant varier de manière séquentielle un numéro d’identifiant. Pour chaque personne, on pouvait ainsi récupérer ses données de profil, le type de personne qu’elle souhaite rencontrer ainsi que ses photos. Si un compte Facebook était associé, on pouvait également télécharger la liste de ses intérêts et les pages qu’elle a aimées.
Il était également possible de géolocaliser les utilisateurs par triangulation. Il suffisait pour cela de créer de faux comptes et de modifier leurs localisations. Comme l’API indiquait à chaque la distance exacte avec la cible, le calcul était immédiat.
Les chercheurs ont également réussi à utiliser à l’œil des fonctionnalités premium, car les requêtes n’étaient pas vérifiées côté serveur, mais côté client. Ce qui est facile à contourner. Bumble n’est pas non plus très réactif dans la correction. Alerté par l’intermédiaire de la plateforme HackerOne en mars dernier, l’éditeur ne s’est penché sur ces problèmes que début novembre.
Source : Forbes
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
