La aplicación de citas 'Raw' recopila accidentalmente datos de ubicación e información personal de los usuarios de Rawdogs.

Se ha descubierto que una app de citas que, esta misma semana, anunció un nuevo y escalofriante dispositivo portátil, ha expuesto públicamente los datos de sus usuarios. Estos datos eran granulares y personales, incluyendo sus ubicaciones aproximadas.

La aplicación, Raw, afirma estar dedicada a promover el "amor real y sin filtros" a través de su interfaz de usuario única, similar a BeReal (utiliza las cámaras frontal y trasera del teléfono), pero para citas. Raw también anunció recientemente un nuevo y extraño dispositivo , llamado Raw Ring , que supuestamente permite a los usuarios rastrear la ubicación de sus parejas para asegurarse de que no sean infieles (es imposible que eso genere problemas, ¿verdad?). Desafortunadamente, parece que Raw también ha estado promocionando algo más sin filtros: los datos de los usuarios.

TechCrunch informa que, debido a la falta de protecciones básicas de seguridad digital, Raw dejaba accidentalmente la información personal de los usuarios a disposición del público. De hecho, antes de esta semana, cualquier persona con un navegador web habría podido acceder a información detallada del usuario de la aplicación, incluyendo su fecha de nacimiento, nombre para mostrar, preferencias sexuales y datos de ubicación específicos.

TechCrunch afirma haber descubierto las deficiencias de seguridad durante una breve prueba de la aplicación de la compañía. Raw se descargó en un dispositivo Android virtualizado y, posteriormente, el personal de TC utilizó una herramienta de monitorización de red para observar los datos que se transmitían hacia y desde la aplicación. El análisis mostró que los datos personales no estaban protegidos con ningún tipo de barrera de autenticación. TC afirma haber descubierto el problema a los pocos minutos de usar la aplicación. TC también señala que, si bien Raw afirma proteger a los usuarios con cifrado de extremo a extremo, no encontró evidencia de que existiera cifrado de extremo a extremo (E2EE). Analizan la vulnerabilidad de seguridad de la siguiente manera:

Al cargar la aplicación por primera vez, descubrimos que obtenía la información del perfil del usuario directamente de los servidores de la empresa, pero que el servidor no protegía los datos obtenidos con autenticación. En la práctica, esto significaba que cualquiera podía acceder a la información privada de otro usuario visitando con un navegador web la dirección web del servidor expuesto: api.raw.app/users/ , seguida de un número único de 11 dígitos correspondiente a otro usuario de la aplicación. Al modificar los dígitos para que coincidieran con el identificador de 11 dígitos de cualquier otro usuario, se obtenía información privada del perfil de ese usuario, incluyendo su ubicación. Este tipo de vulnerabilidad se conoce como referencia directa a objeto insegura (IDOR), un error que puede permitir que alguien acceda o modifique datos en el servidor de otra persona debido a la falta de controles de seguridad adecuados del usuario que accede a ellos.

Gizmodo contactó a Raw para obtener más información. Según declaraciones a TechCrunch, los problemas de seguridad se solucionaron el miércoles. "Todos los endpoints previamente expuestos han sido protegidos y hemos implementado medidas de seguridad adicionales para evitar problemas similares en el futuro", declaró Marina Anderson, cofundadora de la app de citas Raw, al medio.

No es raro que las empresas protejan mal los datos de sus usuarios. Aunque parezca extraño, la seguridad no es una prioridad importante en la industria del software. Puede ser lenta, costosa y ralentizar otras partes de la producción, por lo que muchas empresas simplemente no se preocupan por ella . Sin embargo, con una aplicación de citas —una empresa dedicada a gestionar los datos más íntimos (literalmente) y sensibles de los usuarios—, obviamente vale la pena dedicar un poco más de tiempo a protegerlos. Como dicen: mejor no tocar.