Додаток для знайомств Raw викриває дані користувачів, включаючи місцезнаходження та сексуальні уподобання

За даними додатка Raw витоки місцезнаходження користувачів та особисті дані через великий прорив в безпеці, що викликає стурбованість щодо його нового пристрою для відстеження відносин, що працює на основі штучного інтелекту.

Серйозний недолік у безпеці додатка для знайомств Raw виклав особисті дані та дані про місцезнаходження користувачів для всіх в Інтернеті, як вперше виявили на TechCrunch. Викриті дані включали імена користувачів, дати народження, сексуальні уподобання, а також точні координати GPS, що дозволяли відслідковувати місцезнаходження до рівня вулиці.

Raw, запущений у 2023 році, досяг більше ніж 500 000 завантажень, заохочуючи користувачів будувати справжні стосунки, вимагаючи щоденного завантаження селфі.

TechCrunch зазначає, що цього тижня компанія також анонсувала носимий пристрій, Raw Ring, стверджуючи, що він може контролювати серцебиття партнера та надавати висновки, згенеровані штучним інтелектом, потенційно для виявлення зради.

Незважаючи на твердження про використання end-to-end шифрування, TechCrunch не знайшов жодного такого захисту. Їх аналіз показав, що дані користувача можна вільно отримати через браузер, використовуючи відому веб-адресу.

«Усі раніше виявлені точки доступу були захищені, і ми впровадили додаткові заходи безпеки, щоб у майбутньому запобігти подібним проблемам», – сказала співзасновниця Raw Марина Андерсон у листі до TechCrunch.

Коли її запитали, Андерсон визнала, що додаток не проходив жодних аудитів безпеки від третіх сторін. Вона додала, що компанія все ще проводить розслідування і подасть “детальний звіт відповідним органам захисту даних відповідно до чинного законодавства”.

Однак TechCrunch зазначає, що вона не підтвердила, чи будуть користувачі повідомлені особисто, або чи буде оновлено політику конфіденційності.

TechCrunch пояснює, що цей тип виявленої вразливості відомий як небезпечне пряме посилання на об’єкт (IDOR) – це поширена, але небезпечна помилка. Це відбувається, коли додаток використовує легко вгадувані ідентифікатори, такі як номери або імена файлів, для контролю доступу до даних.

Наприклад, якщо до профілю користувача доступ здійснюється за допомогою URL з номером в кінці (наприклад, /profile/123), зловмисник може змінити цей номер, щоб переглянути профіль когось іншого (наприклад, /profile/124). Без належних перевірок безпеки, вони можуть використовувати це та отримати доступ або змінити дані, до яких вони не мають доступу.

Дослідники безпеки з TechCrunch виявили помилку за допомогою тесту з модельними даними та місцезнаходженням, які викрили витік лише за кілька хвилин. Ця помилка дозволяла користувачам отримувати доступ до профілів, змінюючи одне число у веб-адресі додатка, перш ніж розробники вирішили проблему.

Незважаючи на виправлення, залишаються занепокоєння щодо практик обробки даних компанією Raw та потенційної можливості нового пристрою для нав’язливого спостереження.