Исследователи Independent Security Evaluators (ISE) сообщили о крупной уязвимости в сервисе знакомств Bumble, из-за которой могли быть раскрыты конфиденциальные данные 95 миллионов пользователей, подключивших учетную запись Facebook (запрещена в РФ). У разработчиков Bumble ушло почти полгода на устранение ошибки.
По словам экспертов, уязвимость в API Bumble позволяла извлечь данные любого пользователя, включая лайки, фотографии и даже его приблизительное местоположение. Кроме того, злоумышленники могли получить доступ ко всем премиум-функциям сервиса, включая неограниченное количество голосов и расширенные функции поиска, пишет Forbes.
Программный интерфейс Bumble не накладывал ограничений на количество запросов, сказала аналитик ISE Санджана Сарда. Эта ошибка позволяла хакерам перебирать все идентификаторы пользователей, просто добавляя единицу к предыдущему номеру.
Уязвимость оставалась открытой на протяжении около 200 дней. Тем не менее, добавила Сарда, личные данные пользователей Bumble скомпрометированы не были. Критическая ошибка была устранена только в начале ноября.
