Un coup de sécurité à l’application de rencontres RAW a exposé publiquement les données personnelles et les données de location privées de ses utilisateurs, a révélé TechCrunch.
Les données exposées incluent les noms d’affichage des utilisateurs, les dates de naissance, les rencontres et les préférences sexuelles associées à l’application brute, ainsi que la location des utilisateurs. Certaines des données de location comprennent des coordonnées suffisamment spécifiques pour localiser les utilisateurs de l’application RAW avec une précision au niveau de la rue.
Raw, lancé en 2023, est une application de rencontres qui prétend offrir des interactions plus authentiques avec les autres en partie en demandant aux utilisateurs de télécharger des photos de selfies. L’entreprise ne démonte pas le nombre d’utilisateurs qu’il dispose, mais ses applications sur le Google Play Store notent plus de 500 000 téléchargements Android à ce jour.
La nouvelle de la déchéance de sécurité arrive dans la même semaine que le startup a annoncé une extension matérielle de son application de rencontres, le Raw Ring, un appareil portable inédit qui, selon lui, permettra aux utilisateurs de l’application de suivre la fréquence cardiaque de leur partenaire et d’autres données de capteurs ostensiblement pour détecter l’infidélité.
Nonobstant la morale et l’éthique du suivi des partenaires romantiques et les risques de la surveillance émotionnelle, les affirmations brutes sur son site Web et dans sa politique privée selon laquelle son application, et son appareil inédit, utilisent tous deux un chiffrement de bout en bout, une fonction de sécurité qui empêche l’utilisateur – y compris la société – d’accéder aux données.
Lorsque nous avons essayé l’application cette semaine, qui comprenait une analyse du trafic réseau de l’application, TechCrunch n’a trouvé aucune preuve que le chiffrement des faits à la fin de l’application. Au lieu de cela, nous avons constaté que l’application renversait publiquement des données sur ses utilisateurs à toute personne ayant un navigateur Web.
Raw a corrigé l’exposition aux données mercredi, peu de temps après que TechCrunch contacte la société avec les détails du bogue.
« Tous les points de terminaison précédemment exposés ont été sécurisés, et nous avons implémenté des garanties supplémentaires pour prendre similaires à l’avenir », a déclaré Marina Anderson, le co-fondateur de Raw Dating App, à TechCrunch par e-mail.
Lorsqu’on lui a demandé par TechCrunch, Anderson a confirmé que la société n’avait pas effectué un audit de sécurité tiers de son application, ajoutant que «se concentre sur la construction d’un produit de haute qualité et l’engagement de manière significative avec notre communauté croissante».
Anderson ne s’engagerait pas à informer proactif des utilisateurs comptabilisés que leur infortation, mais a déclaré que la société « soumettrait un rapport détaillé aux autorités de protection des données Levant en vertu des réglementations applicables.
On ne sait pas imminent combien de temps l’application renversait publiquement les données de ses utilisateurs. Anderson a déclaré que la société enquêtait toujours sur l’incident.
En regardant son affirmation selon laquelle l’application a utilisé le chiffrement de l’extrémité finale, Anderson a déclaré que RAW «utilise le cryptage en transit et applique les contrôles d’accès aux données sensibles dans notre infrastructure. D’autres étapes seront claires après avoir analysé en profondeur la situation.»
Anderson ne dirait pas, lorsqu’on lui a demandé si l’entreprise prévoit d’ajuster sa politique de confidentialité, et Anderson n’a pas lancé un e-mail de suivi de TechCrunch.
Comment nous avons trouvé les données de l’exposition
TechCrunch a découvert le bug mercredi lors d’un bref test de l’application. Dans le cadre de notre test, nous installons l’application de datation brute sur un appareil Android virtualisé, qui nous permet d’utiliser l’application sans fournir de données réelles, telles que notre location physique.
Nous avons créé un nouveau compte d’utilisateur avec des données factices, telles que un nom et une date de naissance, et configuré la location de notre appareil virtuel pour apparaître comme si nous étions dans un musée de Mountain View, en Californie. Lorsque l’application nécessite la location de notre appareil virtuel, nous avons permis à l’application d’accéder à notre location précise à des compteurs.
Nous avons utilisé un outil d’analyse du trafic réseau pour surveiller et inspecter les données entrant et sortant de l’application RAW, ce qui nous a permis de comprendre le fonctionnement de l’application et quels types de données que l’application téléchargeait sur ses utilisateurs.
TechCrunch a découvert l’exposition aux données dans quelques minutes suivant l’utilisation de l’application brute. Lorsque nous avons chargé l’application pour la première fois, nous avons constaté qu’il a tiré les informations de profil de l’utilisateur directement des serveurs de l’entreprise, mais ce serveur ne protégeait pas les données renvoyées avec aucune authentification.
En pratique, cela signifiait que quiconque pouvait accéder aux informations privées de tout autre utilisateur en utilisant un navigateur Web pour visiter l’adresse Web du serveur exposé-api.raw.app/users/ suivi d’un numéro unique à 11 chiffres correspondant à un autre utilisateur d’applications. La modification des chiffres pour correspondre à tout autre chiffre d’identité à 11 chiffres des informations privées renvoyées à partir du profil de cet utilisateur, a inclus ses données de location.
Ce type de vulnérabilité est réduit en tant que référence d’objet direct insécurisée, ou IDOR, un type de bug qui peut permettre à quelqu’un d’accéder ou de modifier des données sur le serveur de quelqu’un d’autre, car un manque de vérifications de sécurité appropriées sur l’utilisateur accédant aux données.
Comme nous sommes expliqués précédemment, les bogues IDOR s’apparentent à avoir une clé d’une boîte aux lettres privée, par exemple, mais cette clé peut également déverrouiller toutes les autres boîtes aux lettres de cette même rue. En tant que tels, les bogues IDOR peuvent être exploités avec facilité et chez certains chevaux énumérés, permettant l’accès à l’enregistrement après enregistrement des données utilisateur.
L’agence américaine de cybersécurité CISA a longtemps mis en garde contre les risques que les bogues IDOR présents, comprenaient la possibilité d’accéder aux données généralement sensibles «à grande échelle». Dans le cadre de son initiative Secure by Design, CISA a déclaré que dans un avis de 2023 que les développeurs devraient enrager leurs applications effectuant des vérifications appropriées d’authentification et d’autorisation.
Vente RAW Correction du bogue, le serveur d’exposition Pas de longues données d’utilisateur de retour dans le navigateur.
