Deittisovellus Raw paljastaa käyttäjien tiedot, mukaan lukien sijainnin ja seksuaaliset mieltymykset

Raaka-sovellus vuoti käyttäjien sijainnit ja henkilökohtaiset tiedot suuren tietoturva-aukon vuoksi, herättäen huolta sen uudesta tekoälyllä toimivasta suhdeseurantalaitteesta.

Vakava tietoturva-aukko deittisovellus Raw’ssa paljasti käyttäjien henkilökohtaiset ja sijaintitiedot kenelle tahansa verkossa, kuten TechCrunch ensimmäisenä paljasti. Paljastuneet tiedot sisälsivät käyttäjien nimet, syntymäajat, seksuaaliset mieltymykset ja tarkat GPS-koordinaatit, mikä mahdollisti sijainnin seurannan aina kadun tasolle asti.

Raw, joka lanseerattiin vuonna 2023, saavutti yli 500 000 latausta ja kannustaa käyttäjiä luomaan aitoja suhteita vaatimalla päivittäisiä selfie-latauksia.

TechCrunch huomauttaa, että tällä viikolla yritys ilmoitti myös käyttöönottavansa kannettavan laitteen, Raw Ringin. Yhtiö väittää, että se pystyy seuraamaan kumppanin sykettä ja tarjoamaan tekoälypohjaisia oivalluksia, mahdollisesti uskottomuuden tunnistamiseksi.

Väitteistä huolimatta, että käytetään päästä päähän -salausta, TechCrunch ei löytänyt tällaisia suojauksia. Heidän analyysinsa osoitti, että käyttäjien tietoja voitiin päästä vapaasti käsiksi selaimen kautta tunnetulla verkkosivustolla.

”Kaikki aiemmin paljastuneet päätepisteet on suojattu, ja olemme toteuttaneet lisäsuojatoimenpiteitä vastaavien ongelmien estämiseksi tulevaisuudessa”, Raw-yhtiön perustaja Marina Anderson sanoi sähköpostitse TechCrunchille.

Kysyttäessä Anderson myönsi, ettei sovellus ole käynyt läpi minkään kolmannen osapuolen turvallisuustarkastuksia. Hän lisäsi, että yritys tutkii asiaa edelleen ja aikoo ”toimittaa yksityiskohtaisen raportin asiaankuuluville tietosuojaviranomaisille soveltuvien säännösten mukaisesti.”

TechCrunch kuitenkin huomauttaa, ettei hän vahvistanut, tullaanko käyttäjiä ilmoittamaan yksitellen, tai päivitetäänkö yksityisyyden suoja -käytäntöä.

TechCrunch selittää, että löydetty haavoittuvuustyyppi tunnetaan nimellä insecure direct object reference (IDOR), eli suoraan suomennettuna suoran objektiviittauksen turvattomuus – se on yleinen, mutta vaarallinen bugi. Tämä tapahtuu, kun sovellus käyttää helposti arvattavia tunnisteita, kuten numeroita tai tiedostonimiä, datan käyttöoikeuksien hallintaan.

Esimerkiksi, jos käyttäjän profiiliin pääsee käsiksi URL:n kautta, jossa on numero lopussa (kuten /profiili/123), hyökkääjä voisi muuttaa tuon numeron nähdäkseen jonkun toisen profiilin (esim. /profiili/124). Ilman asianmukaisia turvatarkistuksia, he voivat hyödyntää tätä ja päästä käsiksi tai muokkaamaan dataa, johon heillä ei pitäisi olla pääsyä.

TechCrunchin tietoturvatutkijat havaitsivat ongelman testissä, jossa käytettiin simuloituja tietoja ja sijaintia. Testi paljasti vuodon vain muutamassa minuutissa. Puute mahdollisti käyttäjille pääsyn profiileihin muuttamalla yhtä numeroa sovelluksen verkkosivuston osoitteessa ennen kuin kehittäjät korjasivat ongelman.

Korjauksesta huolimatta huolia Raw’n tietokäytännöistä ja sen uuden laitteen mahdollisuudesta invasiiviseen valvontaan jatkuu edelleen.