Droite au Coeur: De Ontwikkeling van het Eerste Bubble.io Beveiligingsschandaal

Also available in :

by

Victor Nihoul

-

Aug 7, 2023

-

🇳🇱 Dutch

De afgelopen jaren zijn No-Code ontwikkelingsplatforms enorm populair geworden, waarbij het proces van app- en websitecreatie wordt gedemocratiseerd. Bubble.io staat aan de voorhoede van deze beweging, erkend vanwege de gebruiksvriendelijke interface en diverse reeks functies. Echter, een ongekende gebeurtenis schokte recentelijk de Bubble.io gemeenschap - een aanzienlijke data-inbreuk van een applicatie gebouwd op het platform. Voor het eerst was een Bubble.io-gecreëerde app publiekelijk verwikkeld in een privacyschandaal rond gegevens, omdat gevoelige gebruikersinformatie online uitlekte en wijdverspreid werd via Twitter. Het incident trok aanzienlijke aandacht, zelfs met berichtgeving op nationale Franse televisiekanalen. Dit markeerde het eerste grote openbare schandaal met betrekking tot Bubble.io-beveiliging en de privacymaatregelen. In een onthullende mededeling betreurde Stéphane, CEO van Droite au Coeur:

Het bedrijf X, dat de site heeft ontwikkeld, gaf ons aanvankelijk vertrouwen en verzekerde ons over de beveiliging [...] Dit is echter niet gebeurd, en de opvolging was betreurenswaardig.

Zoals vertaald uit het Frans, benadrukte Stéphane het leed dat door de omstandigheden werd veroorzaakt. In dit artikel zullen we ingaan op de details van de inbreuk, de daaropvolgende oplossing, de toewijzing van verantwoordelijkheid en de verstrekkende implicaties van dit evenement.

Het Incident in Detail

De Onthullingen van Mathis Hammel

Op 29 juli 2023 plaatste Mathis Hammel, een Twitter-gebruiker, een schokkende tweet. Hij vroeg direct het team achter de datingsite @CoeurDroite om prioriteit te geven aan cyberbeveiliging en onthulde dat hun volledige persoonlijke database gevoelig was voor een inbreuk. Hammel legde de kwetsbaarheid van het platform bloot, inclusief kritieke gegevens zoals burgerlijke staat, seksuele geaardheid en e-mailadressen.

Hallo @CoeurDroite , zou het een goed idee zijn om interesse te tonen in cyberbeveiliging? Het is mogelijk om de volledige persoonlijke database van uw datingsite binnen enkele seconden te lekken: burgerlijke staat, seksuele geaardheid, e-mailadres...

De gecompromitteerde app, Droite au Coeur, is een datingsite voor Franse patriotten, vaak geassocieerd met politieke affiliaties ter rechterzijde. Deze ideologische overtuiging maakte het waarschijnlijk tot een aantrekkelijk doelwit. Hammel ging verder in op de aard van het datalek in latere tweets, waarbij hij de verrassende eenvoud benadrukte waarmee hij het gebrek ontdekte - simpelweg door op F12 te drukken. Het belangrijkste probleem was het gebrek aan strikte privacyregels, waardoor de database van de app bloot kwam te liggen en gemakkelijk toegankelijk was via de Debug Tools van elke browser voor degenen met basiskennis. In de nasleep hebben Hammel en andere Twitter-gebruikers humoristisch de werkelijkheid van dit datalek vergeleken - de verrassende eenvoud ervan - met de vermeende complexiteit van hacken.

Hoe mensen zich piraterij voorstellen versus wat er werkelijk is gebeurd

De Aard van de Blootgestelde Gegevens

In eerste instantie leek het datalek voornamelijk gebruikersgegevens te omvatten die bedoeld waren om publiekelijk toegankelijk te zijn via de app (zoals seksuele geaardheid, burgerlijke staat). Echter, gezien de politieke koers van de website, plaatste het lek gebruikers mogelijk in gevaar vanwege ideologisch gedreven targeting. Een eenvoudig script kon de export van de hele database vergemakkelijken, inclusief de lijst met gebruikers. Naarmate de omvang van het datalek duidelijk werd, bleek dat ook andere, niet-publieke gegevens waren gecompromitteerd. Dit omvatte e-mailadressen en, het meest zorgwekkende, nauwkeurige geo-coördinaten en postadressen zonder enige verhulling. Op het gebied van cyberbeveiliging ontdekten we dat gebruikers onbedoeld hun volledige adres verstrekten als reactie op een verzoek om hun postcode. Gezien de politieke aard van de app stelden de gelekte gegevens de gebruikers bloot aan een hoog risico op intimidatie en inbreuk op de privacy. Bovendien schond het datalek verschillende regelgevingen, waaronder Europese GDPR-wetten en Franse wetten inzake gegevensprivacy, wat mogelijk zou kunnen leiden tot juridische gevolgen voor de app.

Directe Nasleep en Impact

De tweet ging al snel viraal en kreeg bijna zes miljoen weergaven - waarschijnlijk vanwege de politieke implicaties van het datalek. Naarmate Twitter-gebruikers in interactie gingen met de oorspronkelijke tweet, kreeg het incident aandacht in tech media en trok uiteindelijk de aandacht van nationale televisiekanalen.

Extract from the main French TV channel BFMTV. (screenshot)
"Droite au cœur, datingsite voor 'patriotten', lekte de gegevens van zijn gebruikers" Uittreksel van de belangrijkste Franse televisiezender, BFMTV."

Naarmate het nieuws zich verspreidde, kreeg de app te maken met een ongekende toename in verkeer en aanmeldingen van nep-profielen. Het team moest de website tijdelijk sluiten voor onderhoud en probleemoplossing om hun gebruikers te beschermen. De nasleep ging door, met een aanzienlijke klap voor de reputatie van het platform, omdat veel bestaande gebruikers ervoor kozen hun accounts te verwijderen vanwege zorgen over de veiligheid van hun persoonlijke gegevens. Dit incident markeert een keerpunt in zowel het Bubble-ecosysteem als het bredere No-Code-ecosysteem. Het eerste grote openbare beveiligingsschandaal waarbij een Bubble-gebouwde app betrokken is, zal waarschijnlijk aanzienlijke invloed hebben op toekomstige cybersecurity-maatregelen binnen het Bubble.io-platform.

Toewijzen van Verantwoordelijkheid

Bij elk evenement waar risico bij betrokken is, is het gebruikelijk om iemand verantwoordelijk te houden. De betreffende app werd ontworpen door een Franse Bubble.io-agentschap, en de cruciale vraag nu is - wie moet de schuld dragen voor het datalek? Is het Droite au Coeur, de makers van de app, of ligt de verantwoordelijkheid bij het Franse agentschap dat de app heeft ontwikkeld, of misschien Mathis Hammel, de hacker? De oplossing voor deze vraag is nogal complex.

Beoordeling van de Aanpak van de Hacker

Verschillende individuen, waaronder bekende white-hat hackers, uitten op Twitter hun twijfels over de ethiek van de methoden van Mathis Hammel en zijn beslissing om het lek openbaar te maken.

Niet erg ethisch om een fout die veel gebruikers kan treffen openbaar te maken...

De keuze om een dergelijke kwetsbaarheid openbaar bloot te leggen, roept ethische zorgen op, omdat dit potentieel veel gebruikers in gevaar zou kunnen brengen en het vertrouwen in het bedrijf zou kunnen ondermijnen. De openbare bekendmaking van dergelijke inbreuken kan inderdaad niet alleen de reputatie van het bedrijf beïnvloeden, maar ook de gebruikers in gevaar brengen die geen verantwoordelijkheid dragen voor het incident. Aan de andere kant helpt het om de mogelijkheid van een beveiligingsinbreuk te benadrukken, waardoor gebruikers zich bewust worden van de kwetsbaarheid van hun gegevens. We stonden voor een vergelijkbaar dilemma bij de lancering van onze Gratis Privacyregel Controleur voor Bubble-apps.

De optimale strategie bij het ontdekken van een dergelijke kwetsbaarheid is om de eigenaren van de applicatie te informeren om het probleem te verhelpen. De Europese Commissie biedt ook richtlijnen voor het omgaan met datalekken als de eigenaren van de applicatie niet reageren, die hier te vinden zijn Richtlijnen van de Europese Commissie voor Datalekken.

Het openbaar maken van het lek is een kwestie van persoonlijke keuze, op voorwaarde dat de inbreuk is verholpen en niet langer uitbuitbaar is. Echter, in dit specifieke geval hebben we moeite met de aanpak van de hacker, omdat hij ervoor koos om de gegevens uit te lekken alleen om ophef te veroorzaken op Twitter en voor politieke motieven, zonder te wachten op het oplossen van de kwetsbaarheden. Deze beslissing heeft de hele gebruikersbasis van Droite au Coeur in gevaar gebracht.

Toezicht van het bureau

Opmerkelijk genoeg werd de app niet intern ontwikkeld maar uitbesteed aan een Franse Bubble.io-agentschap. De CEO van Droite au Coeur uitte zijn frustratie over het proces en verklaarde: 'De structuur die verantwoordelijk was voor de ontwikkeling van de site heeft zijn best gedaan, maar het oorspronkelijke raamwerk dat door [de ontwikkelaar] was opgezet, was catastrofaal, onleesbaar en onbegrijpelijk.' Het agentschap behoort tot de top 20 Franse Bubble-agentschappen, maar we zullen de naam niet bekendmaken omdat deze nog niet openbaar is gemaakt. Ons onderzoek, eerder dit jaar uitgevoerd met betrekking tot de beveiliging van het ecosysteem, sluit hierop aan. We ontdekten dat 89% van de Top 100-apps ten minste één kritieke beveiligingskwetsbaarheid vertoonde. We hebben ook vastgesteld dat ongeveer 65% van de apps die door Bubble-agentschappen zijn ontwikkeld, kwetsbaarheden hadden. (Lees onze Relatório de 2023: Uma Visão Abrangente da Segurança dos 100 Principais Aplicativos Feitos no Bubble.io)

Esses dados sustentam a ideia de que muitas agências estão atrasadas em garantir a segurança dos aplicativos que produzem, e este parece ser o primeiro exemplo público.

Part of apps with sensitive data leaks from the Top 100 Bubble.io apps. Data that could not be identified as either sensitive or secure is referred to as “Unknown”.
"Een deel van de apps met gevoelige gegevenslekken uit de Top 100 Bubble.io-apps. Gegevens die niet kunnen worden geïdentificeerd als gevoelig of veilig, worden aangeduid als 'Onbekend'."

Gemakkelijk zou het bureau verantwoordelijk kunnen worden gehouden voor het toezicht en het beveiligingslek. Echter, de realiteit is complexer. Zoals de meeste bureaus, wordt het afgewerkte en uitgebrachte applicatie aan de klanten overgedragen, waarbij ze volledige controle krijgen. Omdat de meeste klanten van bureaus niet over technische expertise beschikken, kunnen ze gemakkelijk fouten maken of Privacyregel-instellingen wijzigen, wat de boosdoener was in dit geval. De misvatting 'no-code' leidt klanten vaak om te geloven dat ze na de ontwikkeling van de app moeiteloos wijzigingen kunnen aanbrengen. Bovendien kan het traceren van de wijzigingen die in een applicatie zijn aangebracht om te identificeren wie een specifieke instelling heeft gewijzigd, een behoorlijke uitdaging zijn. De repercussies van het incident op de reputatie van het bureau blijven onzeker, aangezien hun naam nog niet openbaar aan het evenement is gekoppeld. 'Op dit moment zijn we niet van plan om juridische aanvallen of rechtszaken in te dienen tegen [het Bubble-bureau]', zoals door Stéphane is meegedeeld, wat wijst op een vooruitstrevende reactie van het bedrijf.

Vragen over Bubble.io

Vreemd genoeg vermeldden zowel de Twitter-feed als de tv-uitzendingen niet dat de app was ontwikkeld op Bubble.io of No-code, mogelijk omdat het politieke aspect de overhand had. Het volgende voor de hand liggende doelwit om de schuld te geven is Bubble zelf. Hoe kon zo'n gegevenslek plaatsvinden op Bubble? Het antwoord hierop is niet eenvoudig. Bubble.io is een robuust platform met strenge gegevensbeveiligingsmaatregelen. Echter, de toegankelijkheid en gebruiksvriendelijke interface trekken een publiek aan dat mogelijk gebrek heeft aan diepgaande kennis van cybersecurity en begrip van huidige regelgeving voor gegevensprivacy, wat mogelijk risico's kan opleveren voor eindgebruikers. Dit probleem wordt verder verergerd door onvoldoende informatie over beveiligingspraktijken en een gebrek aan openbare rapporten over eerdere of bekende kwetsbaarheden (dit incident is de eerste). Uiteindelijk biedt Bubble de nodige tools om een app te beveiligen, maar de verantwoordelijkheid ligt bij de ontwikkelaars (zowel bureaus als individuen) om deze tools te onderzoeken, te leren en te implementeren om de beveiliging van de toepassing te waarborgen. Onlangs zijn er tools van derden opgedoken om het beveiligingsproces voor uw Bubble.io-app te vereenvoudigen. Ondanks onze scherpe bewustwording van beveiliging is menselijke fout altijd een potentieel gevaar. Tools zoals Flusk Vault (ons aanbod) of NcScale helpen bij het identificeren en verhelpen van beveiligingskwetsbaarheden in uw Bubble-app.


Implicaties voor de Toekomst

In wat lijkt op een ongekende gebeurtenis, markeert dit evenement het eerste van mogelijk nog veel meer. Het is essentieel om dit evenement te plaatsen binnen de context van de meteorische opkomst van no-code tools, specifiek Bubble.io. Met een groeiend aantal applicaties dat via Bubble.io wordt ontwikkeld, is het onvermijdelijk dat meer applicaties beveiligingskwetsbaarheden zullen bevatten. Daarom moeten we een onvermoeibare focus houden op privacy en gegevensbeveiliging om de beveiliging en geloofwaardigheid van het ecosysteem te behouden. Wanneer we dieper ingaan op de bredere context, dient dit incident als een krachtige herinnering aan de toenemende zorgen over beveiliging rondom no-code platforms. Naarmate meer nieuwelingen zich wagen aan app-ontwikkeling via deze platforms, stijgt de kans op onbedoelde beveiligingslekken, wat een vruchtbare omgeving creëert voor cyberdreigingen.

Het hackerslandschap wordt ook steeds complexer en gevaarlijker in de no-code ruimte, waarbij ervaren hackers deze kwetsbaarheden identificeren en exploiteren voor hun eigen voordeel.

Growth curve of the number of apps running on Bubble.io between 2013 and 2022. Source BuiltWith.
Groeicurve van het aantal apps dat draait op Bubble.io tussen 2013 en 2022 Bron: BuiltWith.

We hebben bevestigd dat Droite au Coeur de nodige stappen heeft genomen om de beveiligingslekken te herstellen, waardoor hun gebruikers vanaf nu beschermd zijn. Een intrigerende vraag in de nasleep van dergelijke incidenten is of een bedrijf het vertrouwen kan herstellen na een beveiligingsinbreuk? De geschiedenis biedt een gemengde reeks voorbeelden. Sommige bedrijven, zoals Adobe, zijn erin geslaagd sterker terug te komen na een datalek door robuuste beveiligingsmaatregelen te implementeren en hun toewijding aan de bescherming van gebruikersgegevens te tonen. Anderen hebben echter moeite om het vertrouwen van consumenten terug te winnen en lijden reputatieschade. Veel hangt af van hoe het bedrijf reageert op de inbreuk en communiceert met zijn gebruikers.

De tijd zal uitwijzen welke koers Droite au Coeur zal volgen.

User