นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในแอปหาคู่ยอดนิยม Bumble ซึ่งอาจทำให้ผู้โจมตีสามารถระบุตำแหน่งของผู้ใช้บริการรายอื่นได้อย่างแม่นยำ Robert Heaton ซึ่งทำงานเป็นวิศวกรซอฟต์แวร์ให้กับบริษัทการชำระเงิน Stripe ค้นพบช่องโหว่ของแอปหาคู่ จากนั้นจึงพัฒนาและเรียกใช้การโจมตีแบบ หากช่องโหว่ที่ Heaton ค้นพบถูกโจมตีโดยผู้โจมตี เขาสามารถใช้แอพและบริการ Bubmle เพื่อค้นหาที่อยู่บ้านของเหยื่อ และติดตามความเคลื่อนไหวของพวกเขาในโลกแห่งความเป็นจริงในระดับหนึ่ง อย่างไรก็ตาม เนื่องจาก Bumble ไม่ได้อัปเดตตำแหน่งของผู้ใช้ในแอปบ่อยนัก จึงไม่ได้ให้ข้อมูลสดเกี่ยวกับตำแหน่งของเหยื่อแก่ผู้โจมตี ซึ่งเป็นแนวคิดทั่วไป อย่างไรก็ตาม ผู้ใช้ Bumble ไม่จำเป็นต้องกังวล เพราะ Heaton ได้รายงานการค้นพบของเขาให้บริษัททราบผ่านทาง HackerOne หลังจากนั้นเขาก็หยุดช่องโหว่นี้ในอีก 2,000 วันต่อมา สำหรับความพยายามของเขา Heaton ได้รับรางวัลแมลงเป็นจำนวนเงิน XNUMX ยูโร
ติดตามตำแหน่งของผู้ใช้ Bumble
ในระหว่างการค้นคว้าเกี่ยวกับการติดตามตำแหน่งบน Bumble Heaton ได้สร้างสคริปต์อัตโนมัติที่ส่งกระแสคำขอไปยังเซิร์ฟเวอร์ของบริษัท คำขอเหล่านี้ย้าย "ผู้รุกราน" ซ้ำแล้วซ้ำอีกก่อนที่จะขอระยะห่างจากเหยื่อ จากข้อมูลของ Heaton หากผู้โจมตีสามารถพบจุดที่ระยะทางที่ผู้ใช้ Bumble รายงานลดลงจาก 3 ไมล์เป็น 4 ไมล์ พวกเขาก็สามารถอนุมานได้ว่านี่คือจุดที่เหยื่อของพวกเขาอยู่ห่างออกไป 3 ไมล์ , 5 ไมล์จากพวกเขา . . เมื่อพบสิ่งที่เรียกว่า "จุดเปลี่ยน" แล้ว ผู้โจมตีจะมีระยะห่างที่แน่นอนสามระยะจากเหยื่อ ทำให้สามารถระบุตำแหน่งได้อย่างแม่นยำ นอกจากนี้ Heaton ยังประสบความสำเร็จในการปลอมแปลงคำขอ "ปัดใช่" ในแอป Bumble ให้กับใครก็ตามที่ประกาศความสนใจในโปรไฟล์โดยไม่ต้องจ่ายค่าธรรมเนียม 1.99 ยูโรด้วยการข้ามการตรวจสอบลายเซ็นสำหรับคำขอ เอพีไอ Bumble ได้แก้ไขช่องโหว่ที่ Heaton ค้นพบแล้ว แต่คนโสดที่ใช้แอพหาคู่ออนไลน์บ่อยๆ ควรพิจารณาติดตั้ง VPN บนสมาร์ทโฟนเพื่อป้องกันการติดตามออนไลน์ที่ไม่พึงประสงค์ และในกรณีนี้ในโลกแห่งความเป็นจริง ผ่าน The Daily Swig