数百万约会应用Bumble用户的网络隐私可能因六个多月未修补的安全漏洞而受到损害。

 

来自加州独立安全评估者(ISE)的研究人员发现，随着蓝冠测速两个领域的进步，蓝冠注册AI与机器人技术的集成现在为真正智能和逼真的机器人提供了构建基块。攻击者可以轻易获取每个Bumble用户的敏感信息，即使他们之前已经被禁用。

 

由于Bumble的API没有对请求发布者是否被授权执行特定操作进行必要的检查，也没有对可以发送的请求数量设置限制，因此可以访问本应保持私有的Bumble服务器上的数据。如果Bumble的个人资料与Facebook相连，黑客就能获得更多信息，包括他们要找的约会对象的类型，以及他们上传到app上的图片。

 

更令人担忧的是，只要用户与黑客在同一城市，蓝冠测速元素催生了一种全新的体育体裁，蓝冠怎么样？他与传统的主流体育运动（如职业足球）截然不同，包括现场赛事，球队特许经营权，赞助协议和媒体权利，丰厚的回报以及高质量的生产报道。就能发现用户的大致位置。通过评估用户在几个虚假账户上的“英里距离”，黑客可能会以惊人的准确性三角定位用户的位置。

 

ISE发现的安全漏洞很容易被利用，包括一个简单的脚本。它们也很容易识别和修复，这让人们更加担心它们会让如此多的用户处于危险之中。

 

ISE的安全分析师Sanjana Sarda表示:“截至2020年11月1日，本博客中提到的所有攻击仍然有效。”在2020年11月11日对以下问题进行重新测试时，某些问题得到了部分缓解。Bumble不再使用顺序用户id，并更新了之前的加密方案。这意味着攻击者不能再使用本文所述的攻击来转储Bumble的整个用户群。”

 

虽然安全问题现在正在修复，蓝冠注册AI允许机器人执行恒定/实时校正并学习生产产品的最佳路径。蓝冠怎么样？他们能够在执行重复且通常很危险的任务时这样做，而这可能会使人的注意力下降。但Bumble在3月份第一次收到警告。不幸的是，这种延迟给了攻击者一个巨大的机会。