बम्बल सुरक्षा दोष ने उपयोगकर्ताओं के स्थान डेटा, प्रोफ़ाइल चित्रों को छह महीने के लिए उजागर कर दिया- प्रौद्योगिकी समाचार, फ़र्स्टपोस्ट

0
2


डेटिंग ऐप पर सुरक्षा दोष बुम्बल कथित तौर पर पिछले छह महीनों से कई उपयोगकर्ताओं के स्थान और अन्य प्रोफ़ाइल डेटा को छोड़ दिया गया है। यह साइबर सिक्योरिटी फर्म इंडिपेंडेंट सिक्योरिटी इवैल्यूएटर्स (ISE) द्वारा बताया गया था, जो दावा करता है कि प्लेटफ़ॉर्म पर भेद्यता के कारण, “एक हमलावर बम्बल के पूरे उपयोगकर्ता-आधार को मूलभूत उपयोगकर्ता जानकारी और चित्रों के साथ डंप कर सकता है, भले ही हमलावर एक असत्यापित उपयोगकर्ता हो बंद खाता। ” शोधकर्ताओं यह भी पाया गया कि प्लेटफ़ॉर्म पर एक भेद्यता ने हमलावरों को बम्बल की प्रीमियम सुविधाओं पर भुगतान को बायपास करने की अनुमति दी।

बम्बल को मार्च में दोष के बारे में बताया गया था, हालांकि, 1 नवंबर तक, मुद्दों में से कोई भी पैच नहीं किया गया था। 11 नवंबर को सेवानिवृत्त होने पर, केवल कुछ मुद्दों को कम किया गया था।

बुम्बल

“बम्बल अब अनुक्रमिक उपयोगकर्ता आईडी का उपयोग नहीं कर रहा है और उसने अपनी पिछली एन्क्रिप्शन योजना को अपडेट कर दिया है। इसका मतलब है कि एक हमलावर अब यहां वर्णित के रूप में हमले का उपयोग करके बम्बल के पूरे उपयोगकर्ता आधार को डंप नहीं कर सकता है। एपीआई अनुरोध मील में दूरी प्रदान नहीं करता है – इसलिए ट्रैकिंग स्थान। त्रिकोणीय के माध्यम से अब इस समापन बिंदु के डेटा प्रतिक्रिया का उपयोग करने की संभावना नहीं है, “शोधकर्ताओं ने पुष्टि की।

Tech2 भेद्यता के बारे में अधिक जानने के लिए बम्बल तक भी पहुंच गया है। हमें अभी कंपनी की ओर से जवाब नहीं मिला है।

हालाँकि, साइबर सिक्योरिटी फर्म ने पाया, एक हमलावर अभी भी फेसबुक पसंद, चित्र और अन्य प्रोफ़ाइल जानकारी जैसे कि डेटिंग हितों के बारे में जानकारी प्राप्त करने के लिए समापन बिंदु का उपयोग कर सकता है। एक लॉक-आउट उपयोगकर्ता अभी भी इस सभी जानकारी तक पहुंच सकता है।

विशेष रूप से, शोधकर्ताओं ने यह स्पष्ट किया है कि कुछ मुद्दों को कम करने के बाद, हमलावर अब केवल एन्क्रिप्टेड आईडी के लिए ही ऐसा कर सकते हैं जो उनके पास पहले से है।

अन्य सुरक्षा खामियों को देखते हुए हाल ही में तय किया गया था, बम्बल को अन्य सुरक्षा मुद्दों को जल्द ही ठीक करने की उम्मीद है।



Source link