聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

交友網(wǎng)站Bumble暴露了用戶的政治傾向、星座、教育情況、身高和體重以及位置等個(gè)人信息。

在仔細(xì)查看了Bumble（通常由女性發(fā)起對(duì)話）的代碼后，安全評(píng)估人員研究員Sanjana Sarda發(fā)現(xiàn)了API漏洞的相關(guān)問(wèn)題。這不僅能繞過(guò)Bumble Boost高級(jí)服務(wù)付款，而且還能夠訪問(wèn)近1億用戶個(gè)人信息。

該公司回應(yīng)，Bumble需要更加嚴(yán)肅地對(duì)待測(cè)試和漏洞披露。托管Bumble漏洞懸賞和報(bào)告流程的平臺(tái)HackerOne表示，此類(lèi)服務(wù)與黑客頗有淵源。

漏洞詳情

Sarda通過(guò)電子郵件告訴Threatpost：“我花了大約兩天的時(shí)間找到了最初的漏洞，又花了大約兩天的時(shí)間才提出了基于相同漏洞的進(jìn)一步利用的概念證明?！?“盡管API漏洞不像SQL注入那樣廣為人知，但這些問(wèn)題可能會(huì)造成重大破壞?！?/p>

她對(duì)Bumble漏洞進(jìn)行了反向工程，并發(fā)現(xiàn)了多個(gè)端點(diǎn)，這些端點(diǎn)在處理動(dòng)作而無(wú)需服務(wù)器進(jìn)行檢查。這意味著使用Bumble應(yīng)用程序可以繞開(kāi)高級(jí)服務(wù)限制。

Bumble Boost的另一項(xiàng)高級(jí)服務(wù)被稱為T(mén)he Beeline，它使用戶可以看到所有在其個(gè)人資料上滑動(dòng)的人。Sarda在這里解釋說(shuō)，她使用開(kāi)發(fā)者控制臺(tái)來(lái)找到一個(gè)端點(diǎn)，該端點(diǎn)在潛在的匹配供稿中顯示了每個(gè)用戶。從那里能夠找出相關(guān)代碼。

但是，除了高級(jí)服務(wù)之外，該API還使Sarda可以訪問(wèn)“ server_get_user”端點(diǎn)并枚舉Bumble的全球用戶。她甚至能夠從Bumble檢索用戶的Facebook數(shù)據(jù)和“愿望”數(shù)據(jù)，從而告訴您他們搜索的匹配類(lèi)型。還可以訪問(wèn)“個(gè)人資料”字段，其中包含政治傾向、星座、教育情況、身高和體重以及位置等個(gè)人信息。

黑客還可以判斷用戶是否安裝了移動(dòng)應(yīng)用程序，以及他們的定位。

漏洞報(bào)告

Sarda說(shuō)，ISE團(tuán)隊(duì)向Bumble報(bào)告了該發(fā)現(xiàn)，試圖在公開(kāi)進(jìn)行研究之前緩解漏洞。

“在公司沉默了225天之后，我們著手進(jìn)行了發(fā)表研究的計(jì)劃，”薩達(dá)通過(guò)電子郵件告訴Threatpost，“只有當(dāng)我們開(kāi)始談?wù)摴紩r(shí)，我們才會(huì)在20/11/11收到HackerOne的電子郵件，內(nèi)容是’Bumble渴望避免向媒體披露任何細(xì)節(jié)?！盚ackerOne隨后著手解決了部分問(wèn)題。

Sarda解釋說(shuō)，她在11月1日進(jìn)行了重新測(cè)試，所有問(wèn)題仍然存在。截至11月11日，“某些問(wèn)題已得到部分緩解?！?她補(bǔ)充說(shuō)，這表明Bumble對(duì)他們的漏洞披露程序（VDP）的反應(yīng)不夠。

根據(jù)HackerOne的說(shuō)法，并非如此。

“漏洞披露是任何組織安全狀況的重要組成部分，” HackerOne在一封電子郵件中告訴Threatpost，“確保漏洞可以由人們自己解決，這對(duì)于保護(hù)關(guān)鍵信息至關(guān)重要。Bumble通過(guò)其在HackerOne上的漏洞賞金計(jì)劃與黑客社區(qū)進(jìn)行了合作。Bumble的安全團(tuán)隊(duì)已解決了有關(guān)HackerOne的問(wèn)題，但向公眾公開(kāi)的信息所包含的信息遠(yuǎn)遠(yuǎn)超出了最初以負(fù)責(zé)任的方式向他們公開(kāi)的信息。Bumble的安全團(tuán)隊(duì)全天候工作，以確保迅速解決所有與安全相關(guān)的問(wèn)題，并確認(rèn)沒(méi)有用戶數(shù)據(jù)受

漏洞管理

Cequence Security常駐黑客Jason Kent認(rèn)為，API是一種被忽視的攻擊媒介，并且越來(lái)越多地被開(kāi)發(fā)人員使用。安全團(tuán)隊(duì)和API卓越中心有責(zé)任找出如何提高其安全性。

?

消息及封面來(lái)源：threatpost，譯者：小江。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/