2 травня видання TechCrunch повідомило про серйозну проблему безпеки в додатку для знайомств Raw, яка призвела до публічного витоку особистої інформації та точних координат користувачів.
Серед скомпрометованих даних:
- імена користувачів,
- дати народження,
- сексуальні та романтичні вподобання,
- геолокація з точністю до вулиці.
Що таке Raw?
Raw - це додаток для знайомств, запущений у 2023 році, який обіцяє "щиріші взаємодії" завдяки обов'язковим щоденним селфі. У Google Play його завантажили вже понад 500 тисяч разів, однак компанія не розкриває загальну кількість користувачів.
Нещодавно Raw анонсувала ще й новинку - пристійку Raw Ring, що дозволяє партнерам відстежувати пульс та інші біодані один одного й отримувати AI-аналітику - нібито для виявлення зради. Це викликало обурення через можливе емоційне стеження та етичні порушення.
Шифрування не спрацювало
Хоча Raw заявляє про використання end-to-end шифрування в додатку і пристрої, журналісти TechCrunch під час тестування не знайшли жодних підтверджень цього. Навпаки - додаток відкрито передавав дані будь-кому через браузер.
Як стався витік?
Журналісти створили фейковий акаунт у Raw на віртуальному Android-пристрої, вказавши випадкові дані та місце розташування в Mountain View, Каліфорнія. Використовуючи інструменти аналізу мережевого трафіку, вони помітили, що додаток запитує дані з серверів без жодної автентифікації.
Це дозволяло будь-кому з браузером отримати приватні дані будь-якого користувача, просто змінивши у веб-адресі 11-значний ідентифікатор.
Цей тип вразливості називається IDOR (Insecure Direct Object Reference) - тобто небезпечне пряме посилання на об'єкт, без перевірки доступу.
Як компанія відреагувала?
Після звернення TechCrunch, Raw оперативно закрила вразливість.
Ко-фундаторка Марина Андерсон підтвердила:
"Всі відкриті точки доступу було захищено, і ми впровадили додаткові механізми безпеки".
Однак:
- компанія не проводила зовнішній аудит безпеки,
- не планує особисто повідомляти користувачів про витік,
- пообіцяла надати звіт відповідним органам захисту даних,
- заявила, що використовує "шифрування під час передачі" та внутрішні заходи доступу до чутливої інформації.
Що далі?
Скільки часу тривав витік - поки невідомо. Андерсон зазначила, що розслідування ще триває. Водночас вона не відповіла, чи буде оновлена політика конфіденційності.