- 4th February 2022
- Posted by: admin
- Category: ilove fr review
Une faille de securite sur l’application de rencontres Bumble aurait quitte l’emplacement et d’autres donnees de profil de nombreux utilisateurs au cours des six derniers mois. Cela a ete rapporte par la societe de cybersecurite Independent Security Evaluators (ISE), qui affirme qu’en raison en vulnerabilite d’une plate-forme, «un attaquant peut vider toute la base d’utilisateurs de Bumble avec des informations et des images d’origine, meme si l’attaquant reste un utilisateur non verifie avec un compte verrouille. » Plusieurs chercheurs a egalement constate qu’une vulnerabilite sur la plate-forme permettait aux attaquants de contourner le paiement des fonctionnalites premium de Bumble.
Ils confirment qu’il n’y a aucune preuve que les precisions des utilisateurs ont ete compromises.
Bumble:
« Bumble a une collaboration de longue date avec HackerOne et son programme de bug bounty dans le cadre de notre pratique globale de cybersecurite, et ceci reste 1 autre modi?le de ce partenariat. Apres avoir ete alertes du probleme, nous avons ensuite commence le processus de correction en plusieurs phases qui comprenait la mise en place de controles pour proteger l’integralite des precisions utilisateur pendant la mise en ?uvre du correctif. Le probleme sous-jacent lie a la securite de l’utilisateur a ete resolu et aucune donnee utilisateur n’a ete compromise. »
HackerOne:
« J’ai divulgation des vulnerabilites est www.besthookupwebsites.org/fr/ilove-review un element vital en posture de securite de toute organisation. S’assurer que les vulnerabilites seront entre les mains des gens qui peuvent des corriger est essentiel pour couvrir des informations critiques. Bumble a une collaboration de longue date avec la communaute des hackers grace a son programme de bug bounty dans HackerOne . Bien que le probleme signale concernant HackerOne ait ete resolu par l’equipe de securite de Bumble, les precisions divulguees au public comprennent des informations depassant de loin et cela leur avait ete initialement divulgue de maniere responsable. L’equipe de securite de Bumble travaille 24 heures sur 24 pour s’assurer que l’integralite des problemes de securite seront resolus vite et a confirme qu’aucune donnee utilisateur n’avait ete compromise. »
Bumble a ete informe d’une faille en mars, mais a compter du 1er novembre, aucun des problemes n’a ete corrige. Lors des nouveaux tests le 11 novembre, seuls deux problemes ont ete juges attenues.
« Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a foutu a jour son schema de chiffrement precedent. Ca signifie qu’un attaquant ne peut plus vider l’ensemble d’la base d’utilisateurs de Bumble avec l’attaque comme decrit ici. Notre requi?te d’API ne fournit environ distance en miles – donc le suivi de l’emplacement via la triangulation n’est plus une possibilite en utilisant la reponse des donnees de cet endpoint », confirment les chercheurs.
tech2 a egalement contacte Bumble pour en connaitre plus sur sa vulnerabilite. Nous n’avons pas encore recu de reponse en societe.
Cependant, la societe de cybersecurite a decouvert qu’un attaquant va i chaque fois se servir de le point de terminaison Afin de obtenir des renseignements telles que des likes Facebook, des photos et d’autres informations de profil telles que les centres d’interet pour des rencontres. Un utilisateur verrouille peut toujours acceder a l’ensemble de ces informations.
Mes chercheurs precisent principalement qu’apres que plusieurs problemes ont ete attenues, des attaquants ne vont pas pouvoir desormais le faire que Afin de les identifiants cryptes qu’ils possedent deja.
Du fait que nos autres failles de securite ont ete recemment corrigees, Bumble se doit de egalement corriger les autres problemes de securite prochainement.
45secondes est votre nouveau media, n’hesitez jamais a partager une article i propos des reseaux sociaux afin de nous donner un solide coup de pouce. ??
