Una vulnerabilidad en la aplicación de citas Bumble ha puesto en riesgo los datos de 95 millones de usuarios de Facebook, entre ellos sus ubicaciones, imágenes y los ‘me gusta’.

El fallo de seguridad se encontraba en la API de la aplicación, empleada para enlazar Bumble con otros servicios, y que no tenía límites para sondear repetidamente el servidor en busca de información sobre otros usuarios.

Los investigadores de Independent Security Evaluators (ISE) han descubierto que con este fallo si una cuenta estaba conectada a Facebook, los ‘hackers’ podían obtener información sobre los intereses de un usuario, las páginas que le hayan gustado, las imágenes que hubiera cargado e incluso su ubicación aproximada. Incluso era posible acceder a esta información incluso si los usuarios se habían dado de baja del servicio.

Este fallo de seguridad en la aplicación, que ha permanecido sin ser corregido durante al menos 200 días, ha puesto en riesgo los datos de 95 millones de usuarios.

«Estos problemas son relativamente simples de explotar. Solucionar estos problemas debería ser relativamente fácil ya que bastaría con verificar las solicitudes que se hacen al servidor y limitar su velocidad», indica Sanjana Sarda, analista de seguridad de ISE.

Los investigadores alertaron a Bumble sobre el fallo hace seis meses y el 1 de noviembre todos los ataques aún funcionaban. A principios de este mes Bumble ha comenzado a solucionar los problemas.

«Al volver a realizar las pruebas para los problemas el 11 de noviembre de 2020, ciertos problemas se habían mitigado parcialmente», señala el ISE en su blog. «Bumble ya no usa identificadores de usuario secuenciales y ha actualizado su esquema de cifrado anterior. Esto significa que un atacante ya no puede volcar toda la base de usuarios de Bumble usando el ataque», añade.