Flört Uygulaması Raw, Kullanıcı Verilerini, Konum ve Cinsel Tercihler Dahil Olmak Üzere Açığa Çıkarıyor

Ham uygulama, büyük bir güvenlik açığı nedeniyle kullanıcı lokasyonlarını ve kişisel verileri sızdırdı, bu da yeni AI destekli ilişki izleme cihazı üzerinde endişeleri artırdı.

Raw isimli randevu uygulamasındaki ciddi bir güvenlik açığı, ilk olarak TechCrunch tarafından açığa çıkarıldığı gibi, kullanıcıların kişisel ve konum verilerini herkesin çevrimiçi erişimine açtı. Açığa çıkan veriler, kullanıcıların isimlerini, doğum tarihlerini, cinsel tercihlerini ve tam GPS koordinatlarını ortaya çıkardı, bu da konum izlemenin sokak seviyesine kadar indirgenmesine olanak sağladı.

Raw, 2023 yılında başlatıldı ve kullanıcılarına günlük selfie yüklemeleri gerektirerek samimi ilişkiler kurmalarını teşvik ederken 500.000’den fazla indirme sayısına ulaştı.

TechCrunch, bu hafta şirketin ayrıca bir giyilebilir cihaz olan Raw Ring’i duyurduğunu belirtiyor. Bu cihazın, bir partnerin kalp atış hızını izleyebileceğini ve potansiyel olarak aldatmayı tespit etmek için AI tarafından üretilen içgörüler sunabileceğini iddia ediyor.

Uçtan uca şifreleme kullanma iddialarına rağmen, TechCrunch’ın bulduğu gibi hiçbir koruma yoktu. Analizleri, kullanıcı verilerine bilinen bir web adresi kullanılarak bir tarayıcı aracılığıyla serbestçe erişilebileceğini gösterdi.

“Daha önce maruz kalan tüm uç noktalar güvence altına alındı ve benzer sorunların gelecekte önlenmesi için ek korumalar uyguladık,” Raw’ın eş kurucusu Marina Anderson, TechCrunch’a eposta yoluyla söyledi.

Sorulduğunda, Anderson uygulamanın herhangi bir üçüncü taraf güvenlik denetiminden geçmediğini kabul etti. Şirketin hala araştırmalarını sürdürdüğünü ve “geçerli düzenlemeler kapsamında ilgili veri koruma otoritelerine ayrıntılı bir rapor sunacağını” ekledi.

Ancak, TechCrunch, kullanıcıların tek tek bilgilendirilip bilgilendirilmeyeceğini veya gizlilik politikasının güncellenip güncellenmeyeceğini onaylamadığını belirtiyor.

TechCrunch, bulunan bu tür bir açıklığın, genellikle tehlikeli olan güvensiz doğrudan nesne referansı (IDOR) olarak bilinen bir hata olduğunu açıklıyor. Bu durum, uygulamanın verilere erişimi kontrol etmek için kolayca tahmin edilebilir belirleyiciler, örneğin sayılar veya dosya isimleri, kullanması durumunda meydana gelir.

Örneğin, bir kullanıcının profili URL’de sonunda bir numara ile erişilirse (örneğin /profil/123), bir saldırgan bu numarayı değiştirerek başka birinin profilini görüntüleyebilir (örneğin, /profil/124). Doğru güvenlik kontrolleri olmadan, bunu kullanarak erişmeleri gerekmeyen verilere erişebilir veya bu verileri değiştirebilirler.

TechCrunch’teki güvenlik araştırmacıları, sadece birkaç dakika içinde sızıntıyı ortaya çıkaran simüle edilmiş veri ve konum ile bir test aracılığıyla kusuru tespit etti. Kusur, geliştiriciler sorunu çözmeden önce, kullanıcıların uygulamanın web adresindeki tek bir numarayı değiştirerek profillere erişmelerini sağladı.

Sorunun düzeltilmesine rağmen, Raw’ın veri uygulamaları ve yeni cihazının istilacı gözetim potansiyeli hakkındaki endişeler devam ediyor.