invista em startups
Captação Ideal Engenharia
Privacidade

Falhas no aplicativo de namoro Bumble colocam 95 milhões de usuários do Facebook em risco

Interface defeituosa da plataforma dava acesso as curtidas, interesses e até localização de internautas

16/11/2020 07h00
Por: Leonardo Brum
Fonte: Forbes
265
Interface defeituosa da plataforma dava acesso as curtidas, interesses e até localização de internautas
Interface defeituosa da plataforma dava acesso as curtidas, interesses e até localização de internautas

 

O Bumble se orgulha em ser um dos aplicativos de namoro mais éticos, mas está fazendo o suficiente para proteger os dados privados de seus usuários? De acordo com uma pesquisa mostrada à Forbes antes de seu lançamento ao público, o aplicativo colocou em risco cerca de 95 milhões de pessoas.

Pesquisadores do Independent Security Evaluators (ISE) –empresa norte-americana de cibersegurança– descobriram que, mesmo que usuários saíssem do Bumble, a plataforma conseguiria ter acesso a uma riqueza de informações sobre a identidade e os encontros marcados pelos usuários. Antes de as falhas serem corrigidas no início deste mês, as informações ficaram expostas por pelo menos 200 dias desde que os pesquisadores alertaram o aplicativo. E se uma conta estivesse conectada ao Facebook, era possível acessar todos os “interesses” e páginas curtidas do usuário. Um hacker também poderia adquirir informações sobre o tipo exato de pessoa que um usuário do Bumble está procurando e todas as fotos que ele enviou para o aplicativo.

Talvez o mais preocupante, se o hacker em questão estivesse na mesma área que o alvo, era possível obter a localização aproximada do usuário observando sua “distância em milhas”, característica do aplicativo. Um invasor pode então falsificar a localização de um punhado de contas e, em seguida, usar matemática para tentar triangular as coordenadas da vítima.

“Isso é trivial quando se trata de um usuário específico”, disse Sanjana Sarda, analista de segurança do ISE, que descobriu os problemas. Para hackers econômicos, também era “trivial” acessar recursos premium, como votos ilimitados e filtragem avançada (feitos de graça pelo aplicativo) acrescentou Sarda.

Tudo isso foi possível devido à forma como a interface de programação do aplicativos funcionava. Pense em uma interface em que o software que a define pode acessar dados de qualquer computador e, nesse caso, esse software era o mesmo servidor do Bumble que gerencia os dados do usuário.

Sarda disse que a interface do Bumble não fazia as verificações necessárias e não tinha limites que lhe permitiam sondar repetidamente o servidor em busca de informações sobre outros usuários. Por exemplo, ela poderia enumerar todos os números de ID de usuário simplesmente adicionando um ID ao anterior. Mesmo quando ela foi bloqueada, Sarda foi capaz de continuar a extrair o que deveriam ser dados privados dos servidores Bumble. Tudo isso foi feito com o que ela diz ser um uma série de “linguagens de programação simples”.

“Esses problemas são relativamente simples de se resolver e apenas alguns testes removeriam as falhas. Assim, consertá-los deveria ser relativamente fácil, já que possíveis soluções envolvem verificação de solicitação do lado do servidor e limitação de pesquisa”, disse a pesquisadora.

Como era tão fácil roubar dados de todos os usuários e potencialmente fiscalizar ou revender as informações, isso destaca a confiança talvez perdida que as pessoas têm em grandes marcas e aplicativos disponíveis na App Store da Apple ou no Play Store do Google, acrescentou Sarda. Em última análise, esse é um “grande problema para todos que se preocupam, mesmo que remotamente, com informações pessoais e privacidade”.

Falhas corrigidas … meio ano depois

Embora tenha demorado cerca de seis meses, o Bumble corrigiu os problemas no início deste mês, com um porta-voz acrescentando: “Bumble tem uma longa história de colaboração com o HackerOne e seu programa de alerta de bugs como uma prática geral de nossa segurança cibernética, e este é outro exemplo dessa parceria. Depois de sermos alertados sobre o problema, iniciamos o processo de correção de várias fases, que incluiu a implementação de controles para proteger todos os dados do usuário enquanto a correção estava sendo implementada. O problema subjacente relacionado à segurança do usuário foi resolvido e não havia dados de usuários comprometidos.”

Sarda revelou os problemas em março. Apesar das repetidas tentativas de obter uma resposta no site de divulgação de vulnerabilidades HackerOne, o Bumble permaneceu em silêncio. Em 1º de novembro, Sarda disse que as fragilidades ainda permaneciam no aplicativo. E só no início deste mês, a plataforma começou a consertar os problemas.

As a stark comparison, Bumble rival Hinge worked closely with ISE researcher Brendan Ortiz when he provided information on vulnerabilities to the Match-owned dating app over the summer. According to the timeline provided by Ortiz, the company even offered to provide access to the security teams tasked with plugging holes in the software. The problems were addressed in under a month.

Em comparação, o rival do Bumble, o Hinge, trabalhou em estreita colaboração com o pesquisador do ISE, Brendan Ortiz, quando ele forneceu informações sobre vulnerabilidades no aplicativo de namoro, de propriedade do grupo Match durante o verão no Hemisfério Norte. De acordo com o cronograma fornecido por Ortiz, a empresa até se ofereceu para dar acesso às equipes de segurança encarregadas de tapar buracos no software. Os problemas foram resolvidos em menos de um mês.