Aplikacija za upoznavanje Raw otkriva podatke korisnika, uključujući lokaciju i seksualne preferencije

Aplikacija Raw procurila je lokacije korisnika i osobne podatke zbog velike sigurnosne pogreške, izazivajući zabrinutost zbog svog novog uređaja za praćenje odnosa pokretanog AI-jem.

Ozbiljan sigurnosni propust u dating aplikaciji Raw izložio je osobne podatke i lokaciju korisnika svima na internetu, kako je prvi otkrio TechCrunch. Izloženi podaci otkrili su imena korisnika, datume rođenja, seksualne preferencije i točne GPS koordinate koje omogućuju praćenje lokacije do razine ulice.

Raw pokrenut 2023. godine postigao je više od 500 000 preuzimanja potičući korisnike da izgrade autentične odnose zahtijevajući dnevne prijenose selfieja.

TechCrunch bilježi da je ove tjedna tvrtka također najavila nosivi uređaj, Raw Ring, tvrdeći da može nadzirati otkucaje srca partnera i nuditi uvide generirane umjetnom inteligencijom, potencijalno za otkrivanje varanja.

Unatoč tvrdnjama o korištenju end-to-end enkripcije, TechCrunch nije pronašao takve zaštite. Njihova analiza pokazala je da se podaci korisnika mogu slobodno pristupiti putem preglednika koristeći poznatu web adresu.

“Sve prethodno izložene točke su zaštićene, a implementirali smo dodatne mjere zaštite kako bismo spriječili slične probleme u budućnosti”, rekla je suosnivačica Raw-a Marina Anderson putem e-maila za TechCrunch.

Kada je upitana, Anderson je priznala da aplikacija nije prošla nikakve sigurnosne provjere treće strane. Dodala je da tvrtka još uvijek istražuje i da će “dostaviti detaljno izvješće relevantnim tijelima za zaštitu podataka sukladno važećim propisima.”

No, TechCrunch napominje da nije potvrdila hoće li korisnici biti pojedinačno obaviješteni, ili će se ažurirati politika privatnosti.

TechCrunch objašnjava da se ova vrsta otkrivene ranjivosti naziva nesigurna izravna referenca na objekt (IDOR) – uobičajena, ali opasna pogreška. To se događa kada aplikacija koristi lako pogodljive identifikatore, poput brojeva ili imena datoteka, za kontrolu pristupa podacima.

Na primjer, ako se pristup korisničkom profilu vrši putem URL-a s brojem na kraju (poput /profil/123), napadač bi mogao promijeniti taj broj kako bi vidio profil nekog drugog (npr., /profil/124). Bez odgovarajućih sigurnosnih provjera, mogu iskoristiti to i pristupiti ili mijenjati podatke kojima ne bi trebali imati pristup.

Sigurnosni istraživači na TechCrunchu otkrili su propust putem testa s simuliranim podacima i lokacijom koji je otkrio curenje za samo nekoliko minuta. Propust je omogućio korisnicima pristup profilima mijenjajući samo jedan broj u web adresi aplikacije prije nego što su programeri riješili problem.

Unatoč popravku, i dalje postoje zabrinutosti zbog praksi Raw-a u pogledu podataka i potencijala novog uređaja za invazivno nadziranje.