Aplicația de întâlniri Raw expune datele utilizatorilor, inclusiv locația și preferințele sexuale

Aplicația Raw a divulgat locațiile și datele personale ale utilizatorilor din cauza unei defecțiuni majore de securitate, stârnind preocupări cu privire la noul său dispozitiv de urmărire a relațiilor alimentat de AI.

O defecțiune gravă de securitate în aplicația de întâlniri Raw a expus datele personale și de localizare ale utilizatorilor către oricine online, așa cum a fost dezvăluit inițial de TechCrunch. Datele expuse au dezvăluit numele utilizatorilor, datele de naștere, preferințele sexuale și coordonatele GPS exacte, permițând urmărirea locației până la nivel de stradă.

Raw, lansată în 2023, a atins peste 500.000 de descărcări, încurajând utilizatorii să construiască relații autentice prin solicitarea încărcării zilnice de selfie-uri.

TechCrunch notează că în această săptămână, compania a anunțat și un dispozitiv purtabil, Raw Ring, pretinzând că poate monitoriza ritmul cardiac al unui partener și oferă înțelegeri generate de AI, posibil pentru a detecta infidelitatea.

În ciuda afirmațiilor privind utilizarea criptării de la un capăt la altul, TechCrunch nu a găsit astfel de protecții. Analiza lor a arătat că datele utilizatorilor pot fi accesate liber printr-un browser, folosind o adresă web cunoscută.

„Toate punctele de acces anterior expuse au fost securizate, iar noi am implementat măsuri de siguranță suplimentare pentru a preveni probleme similare în viitor,” a declarat Marina Anderson, co-fondatoare a Raw, prin email către TechCrunch.

Când a fost întrebată, Anderson a recunoscut că aplicația nu a fost supusă niciunei verificări de securitate de către o terță parte. Ea a adăugat că firma încă investighează și va „trimite un raport detaliat către autoritățile relevante de protecție a datelor în conformitate cu reglementările aplicabile.”

Cu toate acestea, TechCrunch notează că ea nu a confirmat dacă utilizatorii vor fi notificați individual, sau dacă politica de confidențialitate va fi actualizată.

TechCrunch explică că acest tip de vulnerabilitate descoperită este cunoscută sub numele de referință directă insegură a obiectului (IDOR) – un bug comun, dar periculos. Acesta apare atunci când aplicația folosește identificatori ușor de ghicit, cum ar fi numere sau nume de fișiere, pentru a controla accesul la date.

De exemplu, dacă profilul unui utilizator este accesat printr-un URL cu un număr la sfârșit (cum ar fi /profile/123), un atacator ar putea schimba acel număr pentru a vizualiza profilul altei persoane (de exemplu, /profile/124). Fără verificări de securitate adecvate, aceștia pot exploata acest lucru și pot accesa sau modifica date la care nu ar trebui să aibă acces.

Cercetătorii de securitate de la TechCrunch au detectat defectul printr-un test cu date și locație simulate, care a dezvăluit scurgerea în doar câteva minute. Defectul a permis utilizatorilor să acceseze profilele prin modificarea unui singur număr în adresa web a aplicației înainte ca dezvoltatorii să rezolve problema.

În ciuda remedierii, îngrijorările persistă în ceea ce privește practicile de date ale Raw și potențialul dispozitivului său nou pentru supraveghere invazivă.