Приложение для знакомств «Raw» случайно публикует данные о местоположении и личную информацию пользователей Rawdogs
Приложение для знакомств, которое только на этой неделе анонсировало жуткий новый носимый гаджет, как выяснилось, публично раскрыло данные пользователей. Данные были детализированными и персональными, включая их приблизительное местоположение.
Приложение Raw, по словам, призвано продвигать «настоящую и неотфильтрованную любовь» через свой уникальный пользовательский интерфейс, который напоминает BeReal (он использует переднюю и заднюю камеры вашего телефона), но для знакомств. Raw также недавно анонсировало странное новое устройство , называемое Raw Ring , которое якобы позволяет пользователям отслеживать местоположение своих возлюбленных, чтобы убедиться, что они не изменяют (нет способа, который мог бы когда-либо привести к проблемным сценариям, верно?). К сожалению, похоже, Raw также продвигает что-то еще в довольно «неотфильтрованной» манере: данные пользователей.
TechCrunch сообщает, что из-за отсутствия базовых мер цифровой безопасности Raw случайно оставлял персональные данные пользователей открытыми для публичного ознакомления. Действительно, до этой недели любой, у кого есть веб-браузер, мог получить доступ к подробной информации о пользователе приложения, включая дату рождения, отображаемые имена, сексуальные предпочтения и довольно конкретные данные о местоположении «на уровне улицы».
TechCrunch сообщает, что обнаружил недостатки безопасности во время краткого тестирования приложения компании. Raw был загружен на виртуализированное устройство Android, а затем сотрудники TC использовали инструмент сетевого мониторинга для наблюдения за данными, передаваемыми в приложение и из него. Анализ показал, что персональные данные не были защищены каким-либо барьером аутентификации. TC сообщает, что обнаружил проблему в течение первых «нескольких минут» использования приложения. TC также отмечает, что, хотя Raw заявляет о защите пользователей с помощью сквозного шифрования, никаких доказательств наличия E2EE не обнаружено. Они раскрывают лазейку в безопасности следующим образом:
Когда мы впервые загрузили приложение, мы обнаружили, что оно извлекало информацию профиля пользователя напрямую с серверов компании, но сервер не защищал возвращаемые данные какой-либо аутентификацией. На практике это означало, что любой мог получить доступ к личной информации любого другого пользователя, используя веб-браузер для посещения веб-адреса открытого сервера —
api.raw.app/users/, за которым следовал уникальный 11-значный номер, соответствующий другому пользователю приложения. Изменение цифр для соответствия 11-значному идентификатору любого другого пользователя возвращало личную информацию из профиля этого пользователя, включая данные о его местоположении. Этот тип уязвимости известен как небезопасная прямая ссылка на объект, или IDOR, тип ошибки, который может позволить кому-то получить доступ или изменить данные на чужом сервере из-за отсутствия надлежащих проверок безопасности пользователя, получающего доступ к данным.
Gizmodo обратилась к Raw за дополнительной информацией. Согласно заявлениям, сделанным TechCrunch, проблемы безопасности были исправлены в среду. «Все ранее выявленные конечные точки были защищены, и мы внедрили дополнительные меры безопасности, чтобы предотвратить подобные проблемы в будущем», — сказала Марина Андерсон, соучредитель приложения для знакомств Raw, изданию.
Нередко компании плохо защищают пользовательские данные. Как бы странно это ни звучало, безопасность не является особенно важным приоритетом в индустрии программного обеспечения. Она может быть трудоемкой, дорогой и может замедлить другие части производства, поэтому многие компании просто не беспокоятся об этом . Однако в случае с приложением для знакомств — бизнесом, который посвящен обработке самых интимных (в буквальном смысле) и конфиденциальных данных пользователей — очевидно, что стоит потратить немного больше времени на защиту информации. Как говорится: упакуйте, прежде чем нажимать.
gizmodo
