O TechCrunch descobriu que uma violação de segurança no aplicativo de namoro bruto exposto a informações e locais pessoais dos usuários. Isso incluiu nomes de exibição, data de nascimento, preferências sexuais e de namoro e localização. Alguns dos dados de localização incluíram coordenadas específicas o suficiente para localizar usuários de aplicativos brutos com precisão no nível da rua.
O Raw, lançado em 2023, é um aplicativo de namoro que afirma oferecer interações mais genuínas com outras pessoas em parte, pedindo aos usuários que enviem fotos diárias de selfie. A empresa não divulga quantos usuários possui, mas sua listagem de aplicativos nas notas da Google Play Store mais de 500.000 downloads do Android até o momento.
As notícias do lapso de segurança surgem na mesma semana em que a startup anunciou uma extensão de hardware de seu aplicativo de namoro, o Raw Ring, um dispositivo vestível não lançado que, segundo ele, permitirá que os usuários do aplicativo rastreem a frequência cardíaca de seu parceiro e outros dados do sensor para receber informações geradas pela IA, ostensivamente para detectar a infidelidade.
Não obstante as questões morais e éticas de rastrear parceiros românticos e os riscos de vigilância emocional, reivindicações brutas em seu site e em sua política de privacidade de que seu aplicativo e seu dispositivo não lançado, ambos usam a criptografia de ponta a ponta, um recurso de segurança que impede alguém que não seja o usuário-incluindo a empresa-de acesso aos dados.
Quando tentamos o aplicativo nesta semana, que incluiu uma análise do tráfego de rede do aplicativo, o TechCrunch não encontrou evidências de que o aplicativo use a criptografia de ponta a ponta. Encontramos o aplicativo RAW compartilhando publicamente dados sobre seus usuários com qualquer pessoa que tenha um navegador.
Quando perguntado pela TechCrunch, Anderson confirmou que a empresa não havia realizado uma auditoria de segurança de terceiros de seu aplicativo, acrescentando que “o foco permanece na construção de um produto de alta qualidade e se envolvendo significativamente com nossa comunidade em crescimento”.
Anderson não se comprometeria a notificar proativamente os usuários afetados que suas informações foram expostas, mas disse que a empresa “enviaria um relatório detalhado às autoridades relevantes de proteção de dados sob os regulamentos aplicáveis”.
Não se sabe imediatamente quanto tempo o aplicativo está publicamente derramando os dados de seus usuários. Anderson confirmou que sua empresa ainda está investigando o incidente. Anderson afirmou que o RAW usa criptografia durante o trânsito, e os controles de acesso são aplicados para dados confidenciais em nossa infraestrutura. Outras medidas ficarão claras após analisar minuciosamente a situação “.
Anderson não disse, quando perguntado, se a empresa planeja ajustar sua política de privacidade, e Anderson não respondeu a um email de acompanhamento da TechCrunch.
Como encontramos os dados expostos
O TechCrunch descobriu o bug na quarta -feira durante um breve teste do aplicativo. Para testar o aplicativo RAW, usamos um telefone Android virtualizado. Isso nos permitiu acessar o aplicativo e usá -lo sem fornecer dados pessoais como localização. Demos ao aplicativo nossa localização exata aos alguns metros mais próximos, quando o aplicativo solicitou a localização do nosso dispositivo virtual. O TechCrunch descobriu a exposição dos dados em poucos minutos após o uso do aplicativo bruto. Quando carregamos o aplicativo pela primeira vez, descobrimos que ele estava extraindo as informações do perfil do usuário diretamente dos servidores da empresa, mas que o servidor não estava protegendo os dados retornados com qualquer autenticação.
Na prática, isso significava que qualquer pessoa poderia acessar as informações privadas de qualquer outro usuário usando um navegador da web para visitar o endereço da web do servidor exposto-api.raw.app/users/ seguido de um número exclusivo de 11 dígitos correspondente a outro usuário do aplicativo. Alterar os dígitos para corresponder com o identificador de 11 dígitos de qualquer outro usuário retornou informações privadas do perfil desse usuário, incluindo seus dados de localização.
Créditos da imagem:
TechCrunch
Créditos da imagem:
TechCrunch
Esse tipo de vulnerabilidade é conhecido como uma referência de objeto direto inseguro, ou idêntico, um tipo de bug que pode permitir que alguém acesse ou modifique os dados no servidor de outra pessoa devido à falta de verificações de segurança adequadas no usuário que acessam os dados.
Como explicamos antes, os bugs idóricos são semelhantes a ter a chave para uma caixa de correio privada, por exemplo, mas essa chave também pode desbloquear todas as outras caixas de correio na mesma rua. Os bugs idóricos são fáceis de explorar e podem até ser enumerados. Isso permite o acesso a registros após registros de dados. A agência de segurança cibernética dos EUA CISA alertou sobre os perigos dos bugs idóricos, o que pode permitir que os hackers obtenham acesso a informações confidenciais “em larga escala”. Como parte de sua iniciativa segura por design em 2023, a CISA aconselhou que os desenvolvedores de aplicativos garantem que eles executem autenticação apropriada
