Dating App Raw Stelt Gebruikersdata Bloot, Inclusief Locatie en Seksuele Voorkeuren

Een ruwe app lekte gebruikerslocaties en persoonlijke gegevens vanwege een groot beveiligingslek, waardoor er zorgen ontstonden over zijn nieuwe AI-gestuurde relatievolgapparaat.

Een ernstige beveiligingsfout in de dating-app Raw stelde de persoonlijke gegevens en locatiegegevens van gebruikers bloot aan iedereen online, zoals voor het eerst onthuld door TechCrunch. De blootgestelde gegevens onthulden de namen, geboortedata, seksuele voorkeuren en exacte GPS-coördinaten van gebruikers, waardoor locatietracking tot op straatniveau mogelijk werd.

Raw, gelanceerd in 2023, bereikte meer dan 500.000 downloads terwijl het gebruikers aanmoedigt om echte relaties op te bouwen door dagelijkse selfie-uploads te vereisen.

TechCrunch merkt op dat het bedrijf deze week ook een draagbaar apparaat, de Raw Ring, heeft aangekondigd, waarvan wordt beweerd dat het de hartslag van een partner kan monitoren en AI-gegenereerde inzichten kan bieden, mogelijk om vreemdgaan te detecteren.

Ondanks beweringen dat er gebruik wordt gemaakt van end-to-end encryptie, vond TechCrunch geen dergelijke beschermingen. Hun analyse toonde aan dat gebruikersgegevens vrij toegankelijk waren via een browser met behulp van een bekend webadres.

“Alle eerder blootgestelde eindpunten zijn beveiligd en we hebben extra waarborgen geïmplementeerd om soortgelijke problemen in de toekomst te voorkomen,” zei Raw mede-oprichter Marina Anderson via e-mail aan TechCrunch.

Toen gevraagd werd, gaf Anderson toe dat de app geen externe beveiligingscontroles heeft ondergaan. Ze voegde eraan toe dat het bedrijf nog steeds onderzoek doet en een “gedetailleerd rapport zal indienen bij de relevante autoriteiten voor gegevensbescherming onder de van toepassing zijnde regelgeving.”

TechCrunch merkt echter op dat ze niet heeft bevestigd of gebruikers individueel op de hoogte zullen worden gebracht, of dat het privacybeleid zal worden geactualiseerd.

TechCrunch legt uit dat dit type kwetsbaarheid dat is gevonden, bekend staat als een onveilige directe objectreferentie (IDOR)—een veelvoorkomende, maar gevaarlijke bug. Dit gebeurt wanneer de app gemakkelijk te raden identifiers, zoals nummers of bestandsnamen, gebruikt om toegang tot gegevens te beheren.

Bijvoorbeeld, als een gebruikersprofiel wordt benaderd door een URL met een nummer aan het einde (zoals /profiel/123), kan een aanvaller dat nummer veranderen om iemand anders zijn profiel te bekijken (bijv., /profiel/124). Zonder de juiste veiligheidscontroles, kunnen ze dit uitbuiten en toegang krijgen tot of gegevens wijzigen waartoe ze geen toegang zouden moeten hebben.

De beveiligingsonderzoekers van TechCrunch ontdekten de fout door een test met gesimuleerde gegevens en locatie die het lek al binnen enkele minuten aan het licht bracht. De fout stelde gebruikers in staat om profielen te benaderen door een enkel nummer in het webadres van de applicatie te wijzigen voordat de ontwikkelaars het probleem oplosten.

Ondanks de oplossing blijven er zorgen bestaan over de gegevenspraktijken van Raw en het potentieel van het nieuwe apparaat voor invasieve surveillance.