交友网站 Bumble 暴露用户信息

在仔细查看了Bumble（通常由女性发起对话）的代码后，安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款，而且还能够访问近1亿用户个人信息。

该公司回应，Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示，此类服务与黑客颇有渊源。

漏洞详情

Sarda通过电子邮件告诉Threatpost：“我花了大约两天的时间找到了最初的漏洞，又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知，但这些问题可能会造成重大破坏。”

她对Bumble漏洞进行了反向工程，并发现了多个端点，这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。

Bumble Boost的另一项高级服务被称为The Beeline，它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说，她使用开发者控制台来找到一个端点，该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。

但是，除了高级服务之外，该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据，从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段，其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。

黑客还可以判断用户是否安装了移动应用程序，以及他们的定位。

漏洞报告

Sarda说，ISE团队向Bumble报告了该发现，试图在公开进行研究之前缓解漏洞。

“在公司沉默了225天之后，我们着手进行了发表研究的计划，”萨达通过电子邮件告诉Threatpost，“只有当我们开始谈论公布时，我们才会在20/11/11收到HackerOne的电子邮件，内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。

Sarda解释说，她在11月1日进行了重新测试，所有问题仍然存在。截至11月11日，“某些问题已得到部分缓解。” 她补充说，这表明Bumble对他们的漏洞披露程序（VDP）的反应不够。

根据HackerOne的说法，并非如此。

“漏洞披露是任何组织安全状况的重要组成部分，” HackerOne在一封电子邮件中告诉Threatpost，“确保漏洞可以由人们自己解决，这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题，但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作，以确保迅速解决所有与安全相关的问题，并确认没有用户数据受

漏洞管理

Cequence Security常驻黑客Jason Kent认为，API是一种被忽视的攻击媒介，并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。