Vulnerabilidad en la app de citas Feeld

Comentarios de Hacker News

• Parece que implementaron la verificación de permisos solo en el frontend

  • Es necesario verificar todos los permisos en el backend
  • Igual que al resolver problemas de desbordamiento de búfer, hay que agregar validaciones de límites en todas partes

• No se deben ingresar datos personales exactos

  • Información como la fecha de nacimiento debería ingresarse de forma aproximada
  • Las apps de citas, en particular, piden información sensible

• Esta app está dirigida a personas con gustos diversos

  • Es una app para personas con intereses diversos como BDSM, sexo grupal y lo queer

• Ha aparecido mucho en los medios recientemente

  • Se reportó que ha generado muchos ingresos
  • Enlace al artículo relacionado

• Un fracaso al nivel de negligencia criminal

  • Considerando la categoría de la app, es un problema extremadamente grave

• El mercado de las citas en línea es un desastre

  • Solo hay 2 o 3 empresas que ofrecen un servicio útil
  • Hace falta un servicio de citas federado y de código abierto

• Parece que no se preocuparon en absoluto por la seguridad

  • Soy desarrollador de videojuegos, y ponemos más esfuerzo en mantener la integridad del juego
  • Esta empresa no considera en absoluto la seguridad de sus usuarios

• El problema de GraphQL

  • Permite consultar datos desde el frontend
  • Es difícil entender las consultas e implementar control de acceso en el backend
  • GraphQL puede hacer que este tipo de errores sea más fácil de cometer

• Una divulgación responsable y compasiva

  • Me sorprende que los investigadores hayan retrasado la divulgación
  • Las startups deberían resolver estos problemas en un plazo de 2 meses para no abusar de la privacidad personal de la gente