Приложението за запознанства Raw разкрива потребителски данни, включително местоположение и сексуални предпочитания

Приложението Raw изтекоха потребителски местоположения и лични данни поради голяма пропуска в сигурността, което поражда тревоги относно новото му устройство за проследяване на взаимоотношения, задвижвано от изкуствен интелект.

Сериозен проблем със сигурността в приложението за запознанства Raw изложи личните данни и местоположението на потребителите пред всеки онлайн, както първоначално беше разкрито от TechCrunch. Изложените данни разкриха имената, датите на раждане, сексуалните предпочитания и точните GPS координати на потребителите, позволявайки проследяването на местоположението им до нивото на улица.

Raw, стартиран през 2023 година, достигна над 500,000 сваляния, като насърчава потребителите да изграждат истински връзки, изисквайки ежедневно качване на селфи.

TechCrunch отбелязва, че тази седмица компанията също обяви за носимо устройство, Raw Ring, което твърди, че може да следи пулса на партньора и да предлага виждания, генерирани от изкуствен интелект, вероятно за откриване на изневяра.

Въпреки твърденията, че използват „end-to-end“ криптиране, TechCrunch не откри такива защити. Анализът им показа, че потребителските данни могат да бъдат достъпени свободно чрез браузър, използвайки известен уеб адрес.

„Всички предишно изложени крайни точки са осигурени, а ние въведохме допълнителни мерки за защита, за да предотвратим подобни проблеми в бъдеще“, заяви съоснователят на Raw, Марина Андерсон, по имейл до TechCrunch.

Когато я попитаха, Андерсън призна, че приложението не е било подложено на независими сигурностни проверки. Тя добави, че компанията все още проучва ситуацията и ще „представи подробен доклад на съответните органи за защита на данните в съответствие с приложимите разпоредби.“

Въпреки това, TechCrunch отбелязва, че тя не потвърди дали потребителите ще бъдат уведомени индивидуално, или дали политиката за поверителност ще бъде актуализирана.

TechCrunch обяснява, че този тип уязвимост, който е открит, е известен като несигурна директна референция към обект (IDOR) – обща, но опасна грешка. Тя се случва, когато приложението използва лесно предполагаеми идентификатори, като числа или имена на файлове, за контрол на достъпа до данни.

Например, ако профилът на потребителя се достъпва чрез URL с число в края (като /profile/123), нападателят може да промени това число, за да види профила на някой друг (например, /profile/124). Без подходящи проверки за сигурност, те могат да експлоатират това и да получат достъп или да модифицират данни, до които не трябва да имат достъп.

Специалистите по сигурност от TechCrunch откриха грешката чрез тест със симулирани данни и местоположение, което разкри утечката за няколко минути. Грешката позволяваше на потребителите да получат достъп до профили, като модифицират едно число в уеб адреса на приложението, преди разработчиците да коригират проблема.

Въпреки корекцията, все още има опасения относно практиките на Raw за обработка на данни и потенциалът на новото устройство за натрапчиво наблюдение.