Dating App Raw Afslører Brugerdata, Herunder Beliggenhed og Seksuelle Præferencer

Rå app lækkede brugerlokationer og personlige data på grund af en stor sikkerhedsbrist, hvilket vækker bekymring omkring dens nye AI-drevne enhed til sporing af forhold.

En alvorlig sikkerhedsbrist i dating-appen Raw gjorde det muligt for enhver online at se brugernes personlige og stedsdata, som først blev afsløret af TechCrunch. De udsatte data afslørede brugernes navne, fødselsdatoer, seksuelle præferencer og præcise GPS-koordinater, som tillod sporing af sted ned til gadeplan.

Raw blev lanceret i 2023 og nåede mere end 500.000 downloads, mens det opfordrer brugerne til at opbygge ægte relationer gennem kravet om daglige selfie uploads.

TechCrunch bemærker, at virksomheden i denne uge også annoncerede en bærbar enhed, Raw Ringen, som påstår, at den kan overvåge en partners hjertefrekvens og tilbyde AI-genererede indsigter, potentielt for at opdage utroskab.

På trods af påstande om at bruge ende-til-ende kryptering, fandt TechCrunch ingen sådanne beskyttelser. Deres analyse viste, at brugerdata kunne tilgås frit gennem en browser ved at bruge en kendt webadresse.

“Alle tidligere udsatte endepunkter er blevet sikret, og vi har implementeret yderligere sikkerhedsforanstaltninger for at forhindre lignende problemer i fremtiden,” sagde Raw medstifter Marina Anderson via email til TechCrunch.

Da hun blev spurgt, indrømmede Anderson, at appen ikke har gennemgået nogen sikkerhedsrevisioner fra tredjepart. Hun tilføjede, at firmaet stadig undersøger og vil “indsende en detaljeret rapport til de relevante databeskyttelsesmyndigheder i henhold til gældende bestemmelser.”

Dog bemærker TechCrunch, at hun ikke bekræftede, om brugerne ville blive underrettet individuelt, eller om privatlivspolitikken vil blive opdateret.

TechCrunch forklarer, at denne type sårbarhed, der er fundet, er kendt som en usikker direkte objektreference (IDOR) – en almindelig, men farlig fejl. Dette sker, når appen bruger let gættelige identifikatorer, som tal eller filnavne, til at kontrollere adgangen til data.

For eksempel, hvis en brugers profil tilgås via en URL med et tal i enden (som /profil/123), kunne en angriber ændre dette tal for at se en anden persons profil (f.eks., /profil/124). Uden ordentlige sikkerhedstjek, kan de udnytte dette og få adgang til eller ændre data, de ikke burde have adgang til.

Sikkerhedsforskere fra TechCrunch opdagede fejlen gennem en test med simulerede data og placering, der afslørede lækagen på bare få minutter. Fejlen gjorde det muligt for brugere at få adgang til profiler ved at ændre et enkelt tal i applikationens webadresse, før udviklerne rettede problemet.

På trods af rettelsen, er der stadig bekymringer omkring Raws datahåndtering og den nye enheds potentiale for invasiv overvågning.