Dejtingappen Raw Exponerar Användardata, Inklusive Plats och Sexuella Preferenser

Råa app läckte användares platser och personuppgifter på grund av en stor säkerhetsbrist, vilket väcker oro över dess nya AI-drivna enhet för relationsövervakning.

Ett allvarligt säkerhetsfel i dejtingappen Raw exponerade användarnas personliga och platsdata för alla online, som först avslöjades av TechCrunch. Den läckta datan avslöjade användarnas namn, födelsedatum, sexuella preferenser och exakta GPS-koordinater som möjliggör platsuppföljning ända ner till gatunivå.

Raw lanserades 2023 och nådde över 500 000 nedladdningar samtidigt som det uppmuntrar användare att bygga äkta relationer genom att kräva dagliga selfie-uppladdningar.

TechCrunch noterar att företaget även denna vecka annonserade en bärbar enhet, Raw Ring, som påstår att den kan övervaka en partners hjärtfrekvens och erbjuda AI-genererade insikter, potentiellt för att upptäcka otrohet.

Trots påståenden om att använda änd-till-änd kryptering, fann TechCrunch inget sådant skydd. Deras analys visade att användardata kunde nås fritt via en webbläsare genom att använda en känd webbadress.

”Alla tidigare utsatta ändpunkter har säkrats, och vi har implementerat ytterligare skyddsåtgärder för att förhindra liknande problem i framtiden,” sa Raw:s medgrundare Marina Anderson via e-post till TechCrunch.

När hon tillfrågades medgav Anderson att appen inte har genomgått några säkerhetsgranskningar av tredje part. Hon tillade att företaget fortfarande utreder och kommer att ”lämna in en detaljerad rapport till de relevanta dataskyddsmyndigheterna enligt gällande föreskrifter.”

TechCrunch noterar dock att hon inte bekräftade om användarna skulle bli individuellt underrättade, eller om integritetspolicyn kommer att uppdateras.

TechCrunch förklarar att denna typ av sårbarhet som hittats är känd som en osäker direktobjektsreferens (IDOR) – en vanlig men farlig bugg. Detta inträffar när appen använder lättgissade identifierare, som nummer eller filnamn, för att kontrollera åtkomst till data.

Till exempel, om en användares profil nås via en URL med ett nummer i slutet (som /profil/123), kan en angripare ändra det numret för att se någon annans profil (t.ex. /profil/124). Utan ordentliga säkerhetskontroller kan de utnyttja detta och få tillgång till eller ändra data de inte borde ha tillgång till.

Säkerhetsforskarna på TechCrunch upptäckte bristen genom ett test med simulerade data och plats, vilket avslöjade läckan på bara några minuter. Felet gjorde det möjligt för användare att komma åt profiler genom att ändra ett enda nummer i applikationens webbadress innan utvecklarna åtgärdade problemet.

Trots åtgärdandet kvarstår oron över Raws datahantering och dess nya enhets potential för invasiv övervakning.