Ciencia y Tecnología

Una falla en la app de citas Bumble pone en riesgo los datos de 95 millones de usuarios de Facebook

Los investigadores de Independent Security Evaluators descubrieron que, con esta vulnerabilidad, si una cuenta estaba conectada a la red social los hackers podían obtener información sobre los intereses de un usuario, las páginas que le hayan gustado e incluso su ubicación aproximada.
martes, 17 de noviembre de 2020

MADRID (Portaltic/EP).- Una vulnerabilidad en la aplicación de citas Bumble puso en riesgo los datos de 95 millones de usuarios de Facebook, entre ellos sus ubicaciones, imágenes y los 'me gusta'.

La falla de seguridad se encontraba en la API de la aplicación, empleada para enlazar Bumble con otros servicios, y que no tenía límites para sondear repetidamente el servidor en busca de información sobre otros usuarios.

Los investigadores de Independent Security Evaluators (ISE) descubrieron que con esta falla si una cuenta estaba conectada a Facebook, los hackers podían obtener información sobre los intereses de un usuario, las páginas que le hayan gustado, las imágenes que hubiera cargado e incluso su ubicación aproximada.

Asimismo, el grupo de investigadores afirmó que era posible acceder a esta información incluso si los usuarios se habían dado de baja del servicio.

Esta falla de seguridad en la aplicación, que ha permanecido sin ser corregida durante al menos 200 días, ha puesto en riesgo los datos de 95 millones de usuarios, según informó Forbes.

"Estos problemas son relativamente simples de explotar (...) Solucionar estos problemas debería ser relativamente fácil ya que bastaría con verificar las solicitudes que se hacen al servidor y limitar su velocidad", indicó Sanjana Sarda, analista de seguridad de ISE.

Los investigadores alertaron a Bumble sobre la falla hace seis meses y el 1 de noviembre todos los ataques aún funcionaban. A principios de este mes Bumble comenzó a solucionar los problemas.

"Al volver a realizar las pruebas para los problemas el 11 de noviembre de 2020, ciertos problemas se habían mitigado parcialmente", señala el ISE en su blog. "Bumble ya no usa identificadores de usuario secuenciales y actualizó su esquema de cifrado anterior. Esto significa que un atacante ya no puede volcar toda la base de usuarios de Bumble usando el ataque", añade.

Comentarios