אפליקציית הדייטינג Raw מחשפת נתונים של משתמשים, כולל מיקום והעדפות מיניות

אפליקציית Raw חשפה מיקומים של משתמשים ונתונים אישיים בגלל תקלה אבטחתית רבת משמעות, מעלה חששות לגבי מכשיר המעקב אחר קשרים מביתה, המופעל באמצעות תוכנית אינטיליגנציה מלאכותית.

פגם אבטחה רציני באפליקציית הדייטינג Raw חשף את נתונים האישיים ומיקום המשתמשים לכל אחד באינטרנט, כפי שנחשף לראשונה על ידי TechCrunch. הנתונים שנחשפו כללו את שמות המשתמשים, תאריכי הלידה שלהם, העדפות מיניות והמיקום המדויק ב-GPS, שמאפשר מעקב אחר המיקום עד לרמת הרחוב.

האפליקציה Raw שהושקה בשנת 2023 הגיעה ליותר מ-500,000 הורדות, ומעודדת משתמשים לבנות יחסים אמתיים על ידי דרישה מהם להעלות סלפי יומיומי.

TechCrunch מסמנת שבשבוע זה, החברה הודיעה גם על מכשיר לביש, ה-Raw Ring, שהיא טוענת שיכול למדוד קצב לב של בן זוג ולהציע תובנות שנוצרו על ידי מלאכותית, כנראה במטרה לאתר בגידות.

למרות הטענות של שימוש בהצפנה מקצה לקצה, TechCrunch לא מצאה כל הגנה שכזו. הניתוח שלהם הראה שניתן לגשת לנתונים של המשתמשים באופן חופשי דרך דפדפן באמצעות כתובת אינטרנט מוכרת.

"כל הנקודות שנחשפו בעבר מאובטחות כעת, והטמענו מגנים נוספים כדי למנוע בעיות דומות בעתיד", אמרה מרינה אנדרסון, אחת ממייסדות Raw, באמצעות דוא"ל ל-TechCrunch.

כאשר שאלו אותה, הודתה אנדרסון שהאפליקציה לא עברה בדיקות אבטחה של גורמים שלישיים. היא הוסיפה שהחברה עדיין חוקרת ותשלח "דוח מפורט לרשויות ההגנה על המידע הרלוונטיות תחת התקנות החלות".

אולם, TechCrunch מעיר שהיא לא אישרה אם המשתמשים יודעו באופן אישי, או אם מדיניות הפרטיות תעודכן.

TechCrunch מסבירה שהחולשה שהתגלתה היא מהסוג שנקרא "הפניה ישירה בלתי מאובטחת לאובייקט" (IDOR) – באג נפוץ אך מסוכן. זה מתרחש כאשר האפליקציה משתמשת במזהים שניתן לנחש אותם בקלות, כמו מספרים או שמות קבצים, כדי לשלוט על הגישה לנתונים.

למשל, אם פרופיל משתמש נגיש דרך כתובת אתר (URL) עם מספר בסוף (כמו /profile/123), מתקיף יכול לשנות את המספר כדי להציג את פרופיל של מישהו אחר (לדוגמה, /profile/124). ללא בדיקות אבטחה מתאימות, הם יכולים לנצל זאת ולגשת או לשנות נתונים שאינם אמורים להיות זמינים להם.

חוקרי האבטחה ב-TechCrunch איתרו את התקלה באמצעות בדיקה עם נתונים מדומים ומיקום, שחשפה את הדליפה תוך מספר דקות בלבד. התקלה האפשרה למשתמשים לגשת לפרופילים על ידי שינוי של מספר בודד בכתובת האינטרנט של האפליקציה לפני שהמפתחים תיקנו את הבעיה.

למרות התיקון, הדאגות עדיין קיימות בנוגע למעשי הנתונים של Raw ולפוטנציאל של המכשיר החדש שלה למעקב פלישתי.