Приложение для знакомств Raw раскрывает пользовательские данные, включая местоположение и сексуальные предпочтения

Приложение Raw утечка пользовательских местоположений и личных данных из-за серьезного пробела в безопасности, вызывая опасения по поводу его нового устройства отслеживания отношений, работающего на основе ИИ.

Серьезная уязвимость в безопасности в приложении для знакомств Raw раскрыла персональные данные и информацию о местоположении пользователей для всех в Интернете, как впервые выявила TechCrunch. Обнародованные данные раскрыли имена пользователей, даты рождения, сексуальные предпочтения и точные GPS координаты, позволяющие отслеживать местоположение до уровня улицы.

Raw, запущенный в 2023 году, достиг более 500 000 загрузок, поощряя пользователей строить искренние отношения, требуя ежедневной загрузки селфи.

TechCrunch отмечает, что на этой неделе компания также объявила о выходе на рынок носимого устройства — Raw Ring. Утверждается, что оно может отслеживать пульс партнера и предлагать инсайты, созданные с помощью AI, возможно, чтобы выявлять измены.

Несмотря на утверждения о использовании сквозного шифрования, TechCrunch не обнаружил такой защиты. Их анализ показал, что данные пользователя могут быть свободно доступны через браузер, используя известный веб-адрес.

«Все ранее обнаженные конечные точки были защищены, и мы внедрили дополнительные меры предосторожности, чтобы предотвратить подобные проблемы в будущем», — сказала сооснователь Raw Марина Андерсон в электронном письме TechCrunch.

Когда ее спросили, Андерсон признала, что приложение не проходило никаких аудитов безопасности со стороны третьих лиц. Она добавила, что компания все еще ведет расследование и представит «подробный отчет соответствующим органам по защите данных в соответствии с действующими нормами».

Однако, как отмечает TechCrunch, она не подтвердила, будут ли пользователи уведомлены индивидуально, или будет ли обновлена политика конфиденциальности.

TechCrunch объясняет, что обнаруженный тип уязвимости известен как небезопасная прямая ссылка на объект (IDOR) — распространенный, но опасный баг. Это происходит, когда приложение использует легко угадываемые идентификаторы, такие как номера или имена файлов, для контроля доступа к данным.

Например, если профиль пользователя доступен по URL с номером в конце (например, /profile/123), злоумышленник может изменить этот номер, чтобы просмотреть чужой профиль (например, /profile/124). Без должных проверок безопасности они могут использовать это и получить доступ или изменить данные, к которым не должны иметь доступа.

Исследователи безопасности из TechCrunch обнаружили уязвимость в ходе теста с моделированными данными и местоположением, которые вскрыли утечку всего за несколько минут. Уязвимость позволяла пользователям получить доступ к профилям путем изменения одного числа в веб-адресе приложения до того, как разработчики устранили проблему.

Несмотря на исправление, сохраняются опасения относительно практик обработки данных Raw и потенциальной возможности его нового устройства для навязчивого слежения.