A Raw Társkereső App Feltárja a Felhasználói Adatokat, Beleértve a Tartózkodási Helyet és Szexuális Preferenciákat

A Raw alkalmazás felhasználói helyszíneket és személyes adatokat szivárogtatott egy jelentős biztonsági hiba miatt, ami aggodalmakat vet fel az új, mesterséges intelligencia által vezérelt párkapcsolati nyomkövető eszközével kapcsolatban.

A Raw társkereső alkalmazásban komoly biztonsági hiba tette lehetővé a felhasználók személyes és helyadatainak bárki számára történő kiszivárogtatását, amit először a TechCrunch tett közzé. Az elérhetővé vált adatok között szerepeltek a felhasználók nevei, születési dátumaik, szexuális preferenciáik, valamint pontos GPS koordinátáik, ami lehetővé tette a helyzetük utcára lebontott nyomon követését.

A Raw 2023-as indítása óta több mint 500 000 letöltést ért el, miközben arra ösztönzi a felhasználóit, hogy építsenek ki őszinte kapcsolatokat, melyhez napi selfie feltöltéseket követel meg.

A TechCrunch megjegyzi, hogy ezen a héten a cég bejelentett egy viselhető eszközt is, a Raw Gyűrűt, amely állítólag képes monitorozni a partner szívritmusát és mesterséges intelligencia által generált betekintést nyújtani, esetleg a megcsalások kiszűrésére.

Annak ellenére, hogy állítólag végpontok közötti titkosítást alkalmaztak, a TechCrunch semmilyen ilyen védelmet nem talált. Elemzésük azt mutatta, hogy a felhasználói adatokat szabadon hozzáférheti bármilyen böngésző, egy ismert webcím használatával.

„Minden korábban kiégett végpontot biztonságosan lezártunk, és további óvintézkedéseket vezettünk be, hogy megakadályozzuk hasonló problémák kialakulását a jövőben,” mondta Marina Anderson, a Raw társalapítója a TechCrunch-nak emailben.

Amikor rákérdeztek, Anderson beismerte, hogy az alkalmazás még nem esett át semmilyen független biztonsági ellenőrzésen. Hozzátette, hogy a cég még mindig vizsgálódik, és „részletes jelentést nyújt be az érvényes szabályozások alapján az illetékes adatvédelmi hatóságoknak.”

A TechCrunch azonban megjegyzi, hogy ő nem erősítette meg, hogy az egyes felhasználókat értesítik-e, vagy hogy frissítik-e az adatvédelmi irányelveket.

A TechCrunch elmagyarázza, hogy az ilyen típusú sebezhetőség, amit találtak, úgy ismert, mint nem biztonságos közvetlen objektum hivatkozás (IDOR) – egy gyakori, de veszélyes hiba. Ez akkor fordul elő, amikor az alkalmazás könnyen kitalálható azonosítókat, mint számokat vagy fájlneveket használ az adatokhoz való hozzáférés szabályozására.

Például, ha egy felhasználó profilját egy URL segítségével érik el, amelynek a végén szám található (például /profil/123), egy támadó megváltoztathatja azt a számot, hogy megtekintse valaki más profilját (pl., /profil/124). Megfelelő biztonsági ellenőrzések nélkül kihasználhatják ezt és hozzáférhetnek vagy módosíthatnak adatokat, amelyekhez nem kellene hozzáférniük.

A TechCrunch biztonsági kutatói egy szimulált adatokkal és helyszínnel végzett teszten keresztül fedezték fel a hibát, ami néhány perc alatt feltárta a szivárgást. A hiba lehetővé tette a felhasználók számára, hogy egyetlen szám megváltoztatásával az alkalmazás webcímében hozzáférjenek a profilokhoz, mielőtt a fejlesztők kijavították a problémát.

Annak ellenére, hogy a hiba javításra került, továbbra is aggodalomra ad okot a Raw adatkezelési gyakorlata és új eszközének invazív megfigyelési potenciálja.