Falla de seguridad en app de citas Bumble comprometió datos de millones de usuarios

Publicado el

Hacker

Recientemente, fue dado a conocer un informe de un equipo independiente de investigación en seguridad, en el que se reveló la posibilidad de que millones de usuarios de la aplicación de citas Bumble hayan visto comprometida su privacidad digital, a causa de fallas de seguridad que permanecieron durante más de seis meses sin ser corregidas. 

El centro de todo este problema estuvo en siempre en torno a la API de Bumble, la cual se utiliza para enlazar la app con otros servicios. Esta instancia, al no realizar las comprobaciones necesarias sobre si el editor de solicitudes está autorizado para realizar una operación específica o no, abrió una puerta para la captura maliciosa de información.

El alcance de una exposición de este tipo se presenta en varios niveles. Por ejemplo, si un perfil de Bumble se encuentra vinculado a Facebook, los piratas informáticos pueden obtener más información, incluido el tipo de fechas que buscan y las imágenes que cargaron en la aplicación.

Otra posibilidad, algo más rebuscada, pero no por eso menos peligrosa y preocupante es que, siempre que el usuario y el pirata informático se encuentren en la misma ciudad, este último pueda descubrir la ubicación aproximada del usuario. Esto, evaluar la «distancia en millas» de los usuarios, apoyándose en el uso de un par de cuentas falsas, los cibercriminales podrían triangular la ubicación del usuario con una precisión asombrosa.

De acuerdo a lo señalado por Forbes, este hecho comprometió los datos de 95 millones de usuarios, cifra que no refleja necesariamente la cantidad de cuentas efectivamente atacadas, pero sí el potencial de cuentas que podrían haber sido interceptadas.

Sobre el tipo de amenaza

Bumble

Aunque popularmente se conoce como una plataforma para conseguir citas románticas (Bumble Date), la aplicación aprovecha la misma dinámica para también encontrar nuevos amigos (Bumble Bff) o potenciales colegas para proyectos (Bumble Bizz), permitiendo escoger entre una de las tres categorías al crear un perfil.

Un hecho que enciende más las alarmas es que las fallas de seguridad encontradas y reveladas en el informe son fáciles de explotar, no siendo necesario más que un simple script. También son fáciles de identificar y reparar, lo que hace que sea aún más preocupante que una falla de estas dimensiones haya perdurado y permitido poner en riesgo a tantos usuarios.

Aunque los problemas de seguridad dentro de la app de citas ahora se están solucionando, Bumble fue alertado por primera vez sobre la existencia ellos en marzo. “Al 1 de noviembre de 2020, todos los ataques mencionados en este blog aún funcionaban,” señaló Sanjana Sarda, analista de seguridad que formó parte de esta investigación. “Al volver a realizar las pruebas para los siguientes problemas el 11 de noviembre de 2020, ciertos problemas se habían mitigado parcialmente. Bumble ya no usa identificadores de usuario secuenciales y ha actualizado su esquema de cifrado anterior. Esto significa que un atacante ya no puede volcar toda la base de usuarios de Bumble usando el ataque como se describe aquí», precisó también.

La seguridad informática es algo que jamás debería ser desatendido, sobre todo cuando la responsabilidad que se tiene a cuestas es la de un gran número de usuarios que se interesan y confían en lo que se ofrece en la red. Tristemente, en el caso de Bumble esta demora ha brindado una gran oportunidad a los atacantes que conocieron esta oportunidad para concretar sus fines.