TechCrunch menemukan bahwa aplikasi kencan periode keselamatan mentah secara publik mempresentasikan data pribadi dan lokasi pribadi penggunanya.
Data yang diekspos termasuk nama visualisasi pengguna, tanggal lahir, janji temu dan preferensi seksual yang terkait dengan aplikasi mentah, serta lokasi pengguna. Beberapa data lokasi termasuk koordinat yang cukup spesifik untuk menempatkan pengguna aplikasi yang tidak diinginkan dengan presisi di tingkat jalan.
Mentah, yang diluncurkan pada tahun 2023, adalah Aplikasi janji temu Itu mengklaim menawarkan lebih banyak interaksi asli dengan orang lain sebagian dengan meminta pengguna untuk memuat foto selfie harian. Perusahaan tidak mengungkapkan berapa banyak pengguna yang dimilikinya, tetapi daftar aplikasi di Google Play Store Notes Notes lebih dari 500.000 unduhan Android hingga saat ini.
Berita periode keamanan terjadi pada minggu yang sama dengan startup mengumumkan perpanjangan perangkat keras dari aplikasi pengangkatannya, cincin mentah, dan Perangkat portabel yang tidak dipublikasikan Yang menyatakan bahwa itu akan memungkinkan pengguna aplikasi untuk melacak detak jantung mitra mereka dan data sensor lainnya untuk menerima ide yang dihasilkan oleh AI, tampaknya untuk mendeteksi perselingkuhan.
Meskipun Tema moral dan etika melacak pasangan romantis Dan Risiko pengawasan emosionalKlaim yang tidak diproses di situs web Anda dan kebijakan privasi Anda bahwa aplikasi Anda, dan perangkat Anda yang tidak dipublikasikan, keduanya menggunakan end -To -Den enkripsiFitur keamanan yang mencegah orang lain selain pengguna, termasuk perusahaan, mengakses data.
Ketika kami menguji aplikasi minggu ini, yang mencakup analisis lalu lintas jaringan aplikasi, TechCrunch tidak menemukan bukti bahwa aplikasi menggunakan enkripsi end -to -end. Sebagai gantinya, kami menemukan bahwa aplikasi tersebut secara terbuka menumpahkan data pada penggunanya kepada siapa pun yang memiliki browser web.
RAW memecahkan pameran data pada hari Rabu, tak lama setelah TechCrunch menghubungi perusahaan dengan rincian kesalahan.
“Semua poin akhir yang sebelumnya diekspos telah dijamin, dan kami telah menerapkan perlindungan tambahan untuk menghindari masalah serupa di masa depan,” kata Marina Anderson, salah satu pendiri aplikasi janji temu mentah, untuk TechCrunch melalui email.
Ketika TechCrunch bertanya kepadanya, Anderson mengkonfirmasi bahwa perusahaan tidak membuat audit keamanan ketiga dari aplikasinya, menambahkan bahwa “pendekatan tersebut tetap dalam membangun produk berkualitas tinggi dan berpartisipasi secara signifikan dengan komunitas kami yang sedang berkembang.”
Anderson tidak berjanji untuk secara proaktif memberi tahu pengguna yang terkena dampak yang diekspos, tetapi mengatakan bahwa perusahaan “akan menyajikan laporan terperinci kepada otoritas perlindungan data yang relevan berdasarkan peraturan yang berlaku.”
Tidak segera diketahui berapa lama aplikasi tersebut secara terbuka menumpahkan data para penggunanya. Anderson mengatakan perusahaan itu masih menyelidiki insiden itu.
Mengenai pernyataannya bahwa aplikasi menggunakan enkripsi end -to -end, Anderson mengatakan bahwa “menggunakan enkripsi transit dan menegakkan kontrol akses untuk data rahasia dalam infrastruktur kami. Langkah -langkah lain akan jelas setelah sepenuhnya menganalisis situasi.”
Anderson tidak mengatakan, ketika ditanya, apakah perusahaan berencana untuk menyesuaikan kebijakan privasi, dan Anderson tidak menanggapi email pemantauan TechCrunch.
Bagaimana kami menemukan data yang terbuka
TechCrunch menemukan kesalahan pada hari Rabu selama tes singkat aplikasi. Sebagai bagian dari pengujian kami, kami menginstal aplikasi janji yang belum diproses pada perangkat Android tervirtualisasi, yang memungkinkan kami untuk menggunakan aplikasi tanpa harus memberikan data dunia nyata, seperti lokasi fisik kami.
Kami membuat akun pengguna baru dengan data fiksi, seperti nama dan tanggal lahir, dan mengonfigurasi lokasi perangkat virtual kami sehingga kami berada di sebuah museum di Mountain View, California. Ketika aplikasi meminta lokasi perangkat virtual kami, kami mengizinkan aplikasi untuk mengakses lokasi kami beberapa meter.
Kami menggunakan alat analisis lalu lintas jaringan untuk memantau dan memeriksa data yang mengalir di dalam dan di luar aplikasi yang tidak diproses, yang memungkinkan kami untuk memahami cara kerja aplikasi dan jenis data apa yang dimuat pada penggunanya.
TechCrunch menemukan paparan data beberapa menit setelah menggunakan aplikasi RAW. Ketika kami pertama kali memuat aplikasi, kami menemukan bahwa ia mengekstraksi informasi profil pengguna langsung dari server perusahaan, tetapi server tidak melindungi data yang dikembalikan dengan otentikasi apa pun.
Dalam praktiknya, itu berarti bahwa siapa pun dapat mengakses informasi pribadi dari setiap pengguna lain menggunakan browser web untuk mengunjungi alamat web server yang terbuka, api.raw.app/users/ diikuti oleh jumlah unik 11 digit yang sesuai dengan pengguna aplikasi lain. Perubahan digit agar sesuai dengan pengidentifikasi 11 -digit dari setiap pengguna lain yang mengembalikan informasi pribadi dari profil pengguna, termasuk data lokasi mereka.
Jenis kerentanan ini dikenal sebagai referensi objek langsung yang tidak aman, atau idor, jenis kesalahan yang memungkinkan seseorang untuk mengakses atau memodifikasi data pada server orang lain karena kurangnya verifikasi keamanan yang memadai pada pengguna yang mengakses data.
Sebagai Kami telah menjelaskan sebelumnyaKesalahan Idor mirip dengan memiliki kunci ke kotak surat pribadi, misalnya, tetapi kunci itu juga dapat membuka kotak surat lain di jalan yang sama. Dengan demikian, kesalahan IDOR dapat dieksploitasi dengan mudah dan dalam beberapa kasus terdaftar, memungkinkan akses ke pendaftaran setelah pendaftaran data pengguna.
Badan cybersecurity Amerika CISA telah lama memperingatkan tentang risiko bahwa kesalahan ada, termasuk kemampuan untuk mengakses data “skala” yang biasanya rahasia. Sebagai bagian dari Anda Asuransi desain Inisiatif, kata CISA Dalam pemberitahuan 2023 bahwa pengembang harus memastikan bahwa aplikasi mereka membuat verifikasi otentikasi dan otorisasi yang tepat.
Karena RAW memecahkan kesalahan, server yang terbuka tidak lagi mengembalikan data pengguna di browser.
