Kwetsbaarheid in dating app Bumble lekt persoonlijke gegevens

Michael Slender
Door Michael Slender
3 minuten leestijd

Bumble doet haar best om de vrouw op één te zetten. De app, waar alleen vrouwen het eerste bericht kunnen versturen, groeit hard met deze strategie. En dat dit werkt, werd afgelopen week duidelijk toen bekend werd dat Bumble plannen heeft om naar de beurs te gaan. Maar hoe zit het met de veiligheid? Onderzoekers keken naar de code van de web app en kwamen tot een schokkende conclusie.

Onderzoeksbureau Independent Security Evaluators (ISE) ontdekte niet alleen dat het mogelijk is om de betaalde features gratis te gebruiken, ook kwamen ze erachter dat het mogelijk was om gebruikersinformatie en afbeeldingen van bijna alle gebruikers in handen te krijgen. De onderzoekers ontdekten bovendien dat, zelfs nadat ze waren verbannen van de dating app, ze alsnog een schat aan informatie over de Bumble-gebruikers konden verkrijgen.

Duurt lang

Voordat de kwetsbaarheden eerder deze maand werden verholpen, waren ze minstens 200 dagen te misbruiken sinds de onderzoekers Bumble hadden gewaarschuwd. In al die tijd – en mogelijk ook daarvoor al – was het mogelijk om de identiteit van elke Bumble-gebruiker te achterhalen. Gezien de veelvoud van informatie die singles delen op dating apps, is het een kwalijke zaak dat de gegevens van gebruikers op deze manier te bereiken zijn.

Nu populair:

lexa "Serious Dating, Crazy Love: Lexa is waar je moet zijn. Voor mensen met inhoud die iets échts zoeken."

Als een account verbonden was met Facebook, was het mogelijk om alle ‘interesses’ en ‘pagina’s die ze leuk vinden’ te achterhalen. Een hacker die de kwetsbaarheid zou kunnen misbruiken, zou ook informatie kunnen krijgen over het exacte type persoon waarnaar een Bumble-gebruiker op zoek was. Alsof dat nog niet genoeg persoonlijke informatie is, kon een hacker ook toegang krijgen tot alle afbeeldingen die gebruikers naar de app hebben geüpload.

Locatie-onthulling

Het meest verontrustende is misschien wel dat een locatie gevonden kon worden als de hacker in dezelfde stad was als de gebruiker. Door te kijken naar de ‘afstand in mijl’ kon de hacker de locaties van een handvol accounts vervalsen en vervolgens de coördinaten van de gebruiker achterhalen. Niet dat dit daadwerkelijk is gebeurd, maar het was wel mogelijk.

Andere dating apps zoals Grindr en Hinge hebben vergelijkbare kwetsbaarheden gehad in het verleden. Vooral voor lhbt’ers wonend in landen waar dit niet geaccepteerd of zelfs strafbaar is, kan het uitlekken van locatiedata in potentie levensgevaarlijk zijn.

Terwijl de kwetsbaarheden ongeveer zes maanden geleden werd gemeld aan Bumble, kostte het dus meer dan een half jaar voordat de problemen waren opgelost. Tegen Forbes zegt het: “Het onderliggende probleem met de gebruikersbeveiliging is opgelost en er zijn geen gebruikersgegevens in het bezit gekomen van derden.” De kwetsbaarheden werden in maart 2020 ontdekt en pas in november 2020 verholpen: niet iets om trots op te zijn.

Verliefd worden is meer...

... dan geluk hebben. Er zijn twee personen voor nodig die ervoor openstaan. Bij één app weten ze precies hoe ze die twee mensen kunnen samenbrengen voor een langdurige relatie. De matching in deze succesvolle app heeft één doel: het koppelen van mensen die écht bij elkaar passen. Ontdek zelf hoe 1 op de 3 leden er een partner vindt.

Deel dit artikel
Geef je reactie