Una aplicación de cita que esta semana había anunciado un nuevo dispositivo para usar como anillo, datos de usuarios expuestos públicamente, incluidos datos granulares y personales, y la ubicación aproximada.
La aplicación, Raw, dice que está dedicada a promover el “amor real y sin filtros” con su interfaz única, que parece Bowereal (Use las cámaras delanteras y traseras de su teléfono) pero para citas. Raw también anunció recientemente un nuevo dispositivo, el Anillo Rawque se supone que permite a los usuarios rastrear la ubicación de sus amantes para asegurarse de que no los engañen (no podría crear situaciones problemáticas, ¿verdad? Desafortunadamente, parece que Raw promovió algo más, y también “sin filtros”: datos de usuarios.
La filtración de la información que cometió usuarios
TechCrunch informa que Por falta de protecciones básicas de seguridad digital, Raw dejó accidentalmente la información personal de los usuarios abiertos a la inspección pública. De hecho, antes de esta semana, cualquiera que usara un navegador web podría haber tenido acceso detallado a los detalles de la información de los usuarios de la aplicación, como la fecha de nacimiento, el nombre, las preferencias sexuales y los datos de ubicación bastante específicos “al nivel de la calle donde estaban”.
TechCrunch dice que descubrió deficiencias de seguridad durante una breve prueba de la aplicación de la compañía. Descargaron RAW en un dispositivo Android virtualizado y luego las personas de TC utilizaron una herramienta de monitoreo de red para observar la transmisión de datos desde y hacia la aplicación. El análisis mostró que los datos personales no estaban protegidos con ningún tipo de barrera de autenticación. TC dice que descubrió el problema unos minutos después de usar la aplicación. Además, TC señala que, aunque Raw afirma proteger a los usuarios con encriptados en extremo a cifras, no encontraron evidencia de que hubiera E2EE. El problema de seguridad detallado es este:
Cuando descargamos la aplicación, descubrimos que tomó la información del perfil del usuario directamente de los servidores de la compañía, pero que el servidor no protegió los datos que regresaron con ningún tipo de autenticación. En la práctica, eso significaba que cualquiera podría acceder a la información privada de otros usuarios utilizando un navegador web y visitar la dirección web del servidor expuesto – api.raw.app/users/ seguido de varios 11 dígitos que correspondieron a otro usuario de la aplicación. Al cambiar los dígitos al identificador de 11 dígitos de cualquier otro usuario, apareció la información privada del perfil del usuario, incluidos los datos de su ubicación. Este tipo de vulnerabilidad se conoce como identificador directo a los objetos no inyectados, IDOR, lo que podría permitir a cualquiera acceder o modificar los datos en un servidor porque no hay controles de acceso y falta de verificaciones de seguridad adecuadas del usuario que accedan a los datos.
Lo que dijo Raw
Gizmodo contactó a RAW para obtener más información. Según las declaraciones de TechCrunch, los problemas de seguridad se han resuelto el miércoles. “Todos los extremos que se expusieron anteriormente fueron asegurados e implementaron salvaguardas adicionales para evitar problemas similares en el futuro”, dijo a la Middle Marina Anderson, cofundador de la aplicación de cita sin procesar.
No es raro que las empresas protejan mal los datos del usuario. Aunque suena extraño, la seguridad no es una prioridad particularmente importante en la industria del software. Puede consumir tiempo, ser costoso y hacer más pasos de producción, tantas empresas Ni siquiera están tomados La incomodidad. Sin embargo, una aplicación de citas es algo dedicado a recopilar y administrar los datos más sensibles e íntimos de los usuarios y es obvio que es conveniente dedicar más tiempo a crear barreras para proteger esos datos.
Este artículo ha sido traducido de Gizmoda US por Lucas Handley. Aquí puedes encontrar la versión original.
