У популярному додатку для знайомств стався витік особистих даних і геолокації користувачів

3 травня 2025 15:51
Сергій Пасевич Сергій Пасевич
У популярному додатку для знайомств стався витік особистих даних і геолокації користувачів

2 травня видання TechCrunch повідомило про серйозну проблему безпеки в додатку для знайомств Raw, яка призвела до публічного витоку особистої інформації та точних координат користувачів.

Серед скомпрометованих даних:

  • імена користувачів,
  • дати народження,
  • сексуальні та романтичні вподобання,
  • геолокація з точністю до вулиці.

Що таке Raw?

Raw - це додаток для знайомств, запущений у 2023 році, який обіцяє "щиріші взаємодії" завдяки обов'язковим щоденним селфі. У Google Play його завантажили вже понад 500 тисяч разів, однак компанія не розкриває загальну кількість користувачів.

Нещодавно Raw анонсувала ще й новинку - пристійку Raw Ring, що дозволяє партнерам відстежувати пульс та інші біодані один одного й отримувати AI-аналітику - нібито для виявлення зради. Це викликало обурення через можливе емоційне стеження та етичні порушення.

Шифрування не спрацювало

Хоча Raw заявляє про використання end-to-end шифрування в додатку і пристрої, журналісти TechCrunch під час тестування не знайшли жодних підтверджень цього. Навпаки - додаток відкрито передавав дані будь-кому через браузер.

Як стався витік?

Журналісти створили фейковий акаунт у Raw на віртуальному Android-пристрої, вказавши випадкові дані та місце розташування в Mountain View, Каліфорнія. Використовуючи інструменти аналізу мережевого трафіку, вони помітили, що додаток запитує дані з серверів без жодної автентифікації.

Це дозволяло будь-кому з браузером отримати приватні дані будь-якого користувача, просто змінивши у веб-адресі 11-значний ідентифікатор.

Цей тип вразливості називається IDOR (Insecure Direct Object Reference) - тобто небезпечне пряме посилання на об'єкт, без перевірки доступу.

Як компанія відреагувала?

Після звернення TechCrunch, Raw оперативно закрила вразливість.
Ко-фундаторка Марина Андерсон підтвердила:

"Всі відкриті точки доступу було захищено, і ми впровадили додаткові механізми безпеки".

Однак:

  • компанія не проводила зовнішній аудит безпеки,
  • не планує особисто повідомляти користувачів про витік,
  • пообіцяла надати звіт відповідним органам захисту даних,
  • заявила, що використовує "шифрування під час передачі" та внутрішні заходи доступу до чутливої інформації.

Що далі?

Скільки часу тривав витік - поки невідомо. Андерсон зазначила, що розслідування ще триває. Водночас вона не відповіла, чи буде оновлена політика конфіденційності.