Si vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et eviter de payer pour les fonctionnalites premium de Bumble Boost.

Avatar for adminby admin
February 7, 2022
42 Views
0 Comments

Si vous avez trop de temps libre et que vous souhaitez vider toute la base d’utilisateurs de Bumble et eviter de payer pour les fonctionnalites premium de Bumble Boost.

Dans le cadre d’la recherche de ISE Labs sur les applications de rencontres populaires (voir plus ici) , nous avons examine l’application Web et l’API de Bumble. Continuez a lire car nous montrerons De quelle fai§on un attaquant va contourner le paiement pour acceder a diverses des fonctionnalites premium de Bumble Boost. Si i§a ne parait jamais assez interessant, decouvrez De quelle fai§on un attaquant est en mesure de vider toute la base d’utilisateurs de Bumble avec des informations utilisateur d’origine et des images, meme si l’attaquant est un utilisateur non verifie avec un compte verrouille. Alerte spoiler – les images fantomes paraissent definitivement une chose.

Mises a jour – Au 1er novembre 2020, l’integralite des attaques mentionnees dans ce blog fonctionnaient toujours. Lors du nouveau test des problemes suivants le 11 novembre 2020, Quelques problemes avaient ete partiellement attenues. Bumble n’utilise plus d’identifiants d’utilisateurs sequentiels et a mis a jour son schema de chiffrement precedent. Ca signifie qu’un attaquant ne est en mesure de plus vider la base d’utilisateurs entiere de Bumble avec l’attaque comme decrit ici. La requi?te d’API ne fournit plus la distance en miles – le suivi de l’emplacement via triangulation n’est donc plus une possibilite en utilisant la reponse de donnees de ce point de terminaison. Un attaquant peut https://besthookupwebsites.org/fr/minichat-review/ forcement choisir le point de terminaison Afin de obtenir des renseignements telles que des likes Facebook, des photos et d’autres renseignements de profil telles que nos complexes d’interet concernant nos rencontres. Ca fonctionne toujours pour un utilisateur verrouille non valide, de manii?re qu’un attaquant va creer un nombre illimite de faux comptes pour vider nos informations utilisateur. Cependant, les attaquants ne vont pas pouvoir le Realiser que pour les identifiants chiffres qu’ils possedent deja (qui sont mis a disposition des individus amis de vous). Il est probable que Bumble corrigera egalement votre probleme au sein des prochains jours. Mes attaques contre le contournement du paiement pour les autres fonctionnalites premium de Bumble fonctionnent i  chaque fois.

API REST de retro-ingenierie

Les developpeurs utilisent les API REST Afin de dicter la maniere dont nos plusieurs parties d’une application communiquent entre elles et peuvent etre configurees pour permettre a toutes les applications cote client d’acceder a toutes les precisions des serveurs internes et d’effectuer des actions. Pourquoi pas, des operations telles que le balayage des utilisateurs, le paiement des fonctionnalites premium et l’acces a toutes les photos des utilisateurs, se produisent via des requi?tes a l’API de Bumble.

Comme des appels REST seront sans etat, il est important que chaque point de terminaison verifie si l’emetteur d’la demande est autorise a effectuer une action donnee. Encore, meme si les applications cote client n’envoient normalement aucun requetes dangereuses, des attaquants peuvent automatiser et manipuler nos appels d’API Afin de effectuer des actions involontaires et recuperer des informations non autorisees. Cela explique certaines des failles potentielles de l’API de Bumble impliquant une exposition excessive aux donnees et un manque de limitation de debit.

Etant donne que l’API de Bumble n’est gui?re documentee publiquement, nous devons proceder a l’ingenierie inverse de leurs appels d’API Afin de comprendre comment le systeme traite les donnees des utilisateurs et les demandes cote client, d’autant plus que une objectif final reste de declencher des fuites de precisions involontaires.

Normalement, la premiere etape consiste a intercepter des requetes HTTP envoyees voili  l’application mobile Bumble. Cependant, tel Bumble a une application Web et partage le meme schema d’API que l’application mobile, nous allons prendre la voie la plus simple et intercepter l’ensemble des requi?tes entrantes et sortantes via Burp Suite .

Explorer Bumble Boost

Mes services premium Bumble «Boost» coutent 9,99 $ par semaine. Nous nous concentrerons sur la recherche de solutions de contournement pour les fonctionnalites Boost suivantes:

  1. Votes illimites
  2. Retour en arriere
  3. Ligne droite
  4. Filtrage avance illimite – sauf que nous sommes egalement curieux de connaitre TOUS les utilisateurs actifs de Bumble, leurs interets, le type de personnes qui les interessent et si nous pouvons potentiellement trianguler leurs emplacements.

L’application mobile de Bumble a une limite dans le nombre de balayages a droite (votes) que vous pouvez choisir pendant la journee. Une fois que nos utilisateurs ont atteint leur limite de balayage quotidienne (environ 100 balayages a droite), ils doivent attendre 24 heures afin que leurs balayages se reinitialisent et se voient montrer de nouvelles correspondances potentielles. Les votes seront traites a l’aide d’une exige suivante via l’ SERVER_ENCOUNTERS_VOTE action de l’ utilisateur ou si:

  • «Vote»: 1 – L’utilisateur n’a jamais vote.
  • “Vote”: 2 – L’utilisateur a glisse a droite via l’utilisateur avec le person_id
  • “Vote”: 3 – L’utilisateur a glisse par la gauche dans l’utilisateur avec le person_id
Avatar for admin

Leave a comment