研究人员：Bumble的漏洞暴露了约9500万Bumble用户的信息，其中包括一些人的Facebook数据，在接到修复该漏洞的通知后，花了200多天的时间

Bumble引以为豪的是，它是一款更具道德意识的约会应用。但它在保护9500万用户的私人数据方面做得足够吗？据《福布斯》杂志在其公开发布前进行的研究显示，在某些方面，情况并非如此。

总部设在圣地亚哥的独立安全评估机构的研究人员发现，即使他们被禁止使用这项服务，他们也可以使用Bumble获取大量约会对象的信息。在本月早些时候修复漏洞之前，自研究人员提醒Bumble以来，这些漏洞已经开放了至少200天，他们可以获取每个Bumble用户的身份。如果一个账户连接到Facebook，就有可能检索到他们所有的“兴趣”或他们喜欢的页面。黑客还可以获取Bumble用户正在寻找的确切类型的人的信息，以及他们上传到该应用程序的所有照片。

也许最令人担忧的是，如果黑客的总部设在同一座城市，就有可能通过查看用户的“英里距离”来获得用户的大致位置。然后攻击者可以伪造几个账户的位置，然后利用数学手段试图对目标的坐标进行三角定位。

发现这些问题的ISE安全分析师桑贾纳·萨尔达(Sanjana Sarda)表示：“在针对特定用户时，这是微不足道的。”Sarda补充说，对于节俭的黑客来说，免费使用无限制投票和高级过滤等高级功能也是“微不足道的”。

这一切都要归功于Bumble的API或应用编程接口的工作方式。可以将API看作是定义一个或一组应用程序如何从计算机访问数据的软件。在这种情况下，计算机是管理用户数据的Bumble服务器。

Sarda说，Bumble的API没有进行必要的检查，也没有允许她重复探测服务器以获取其他用户信息的限制。例如，她只需在之前的ID上加一个就可以列举出所有的用户ID号。即使在被锁在门外的时候，Sarda也能够继续从Bumble服务器中提取本应是私人数据的数据。所有这一切都是通过她所说的“简单的剧本”完成的。

“这些问题相对容易利用，充分的测试可以将它们从生产中移除。”同样，修复这些问题应该相对容易，因为潜在的修复涉及服务器端请求验证和速率限制。

萨达补充说，由于窃取所有用户的数据非常容易，可能会进行监控或转售这些信息，这突显出人们对苹果应用商店或谷歌Play市场上提供的大品牌和应用程序的信任可能是错误的。归根结底，这“对所有关心个人信息和隐私的人来说都是个大问题”。

尽管花了大约六个月的时间，Bumble还是在本月早些时候解决了这些问题，一位发言人补充道：“Bumble与HackerOne及其漏洞赏金计划有着悠久的合作历史，这是我们整体网络安全实践的一部分，这是这种合作的又一个例子。”在收到该问题的警报后，我们开始了多阶段补救过程，其中包括在实施修复时实施控制措施以保护所有用户数据。与用户安全相关的基本问题已经解决，没有用户数据被泄露。“。

Sarda早在3月份就披露了这些问题。尽管自那以后，Bumble多次试图通过HackerOne漏洞披露网站获得回复，但Bumble一直没有提供回复。截至11月1日，Sarda表示，这些漏洞仍然存在于该应用程序中。然后，本月早些时候，Bumble开始修复这些问题。

Sarda早在3月份就披露了这些问题。据Sarda称，尽管此后多次试图在HackerOne漏洞披露网站上获得回应，但Bumble一直没有提供回应。但截至11月1日，Sarda表示，漏洞仍然存在于该应用程序上。然后，本月早些时候，Bumble开始修复这些问题。

与之形成鲜明对比的是，今年夏天，Bumble的竞争对手Hinger与ISE研究员布兰登·奥尔蒂斯(Brendan Ortiz)密切合作，向Bumble旗下的约会应用提供了漏洞信息。根据Ortiz提供的时间表，该公司甚至提出让负责堵住软件漏洞的安全团队进入。这些问题在不到一个月的时间里就解决了。