O Bumble, feito por uma empresa gigante de aplicativos de encontro que supostamente terá um grande IPO no ano que vem, aparentemente levou mais de um semestre para lidar com as principais falhas de segurança que deixaram vulneráveis informações confidenciais ​​de milhões de usuários.

Quem diz isso é uma nova pesquisa publicada no fim de semana pela empresa de segurança cibernética Independent Security Evaluators (ISE). Ela detalha como um agente mal-intencionado poderia explorar uma vulnerabilidade no código do aplicativo para extrair os dados de localização aproximados de qualquer usuário dentro de sua cidade, bem como dados de perfil adicionais, como fotos e pontos de vista religiosos. Isso era possível mesmo que o agente tivesse sido banido.

Apesar de ser informada sobre esta vulnerabilidade em meados de março, a empresa não corrigiu os problemas até 12 de novembro — mais de sete meses depois.

Antes da correção, qualquer pessoa com uma conta Bumble poderia consultar a API do aplicativo para descobrir aproximadamente a quantos quilômetros de distância qualquer outro usuário em sua cidade estava. Como a autora do blog, Sanjana Sarda, explica, se algum indivíduo assustador realmente quisesse descobrir a localização de determinado usuário, não seria muito difícil configurar algumas contas, descobrir a distância básica do usuário de cada um e usar essa coleção de dados para triangular a posição precisa.

O Bumble não é a primeira empresa a deixar acidentalmente esse tipo de dados disponível gratuitamente. No ano passado, detetives de cibersegurança foram capazes de descobrir locais precisos de pessoas usando aplicativos de namoro centrados no público LGBT, como Grindr e Romeo, e agrupá-los em um mapa de localização do usuário.

Se isso não fosse o bastante, há também um compartilhamento deliberado de dados entre esses apps e seus vários parceiros. Um aplicativo que pretende ser um paraíso feminista como o Bumble deveria estender sua ideia de segurança do usuário às práticas de dados.

Embora alguns dos problemas descritos por Sarda tenham sido resolvidos, a correção tardia aparentemente não resolveu um dos problemas de API descritos no blog, o que permitiu ao ISE obter curtidas ilimitadas (ou “votos”, na linguagem do Bumble), junto com o acesso a outros recursos premium, como a capacidade de desmarcar ou ver quem pode ter curtido você. Normalmente, o acesso a esses recursos custa a um determinado usuário cerca de US$ 10 dólares por semana.

Em resposta ao ocorrido, um porta-voz do Bumble enviou a seguinte declaração ao Gizmodo:

O Bumble tem um longo histórico de colaboração com o HackerOne e seu programa de recompensa de bugs como parte de nossa prática geral de segurança cibernética, e este é outro exemplo dessa parceria. Depois de sermos alertados sobre o problema, iniciamos o processo de correção, que é dividido várias fases. Ele incluiu a implementação de controles para proteger todos os dados do usuário enquanto a correção estava sendo implementada. O problema subjacente relacionado à segurança do usuário foi resolvido e não havia dados do usuário comprometidos.