Нарушение безопасности в приложении для знакомств Raw привело к утечке персональных данных и информации о местоположении пользователей, как выяснило издание TechCrunch.
Среди раскрытых данных оказались псевдонимы, даты рождения, предпочтения в знакомствах и сексуальные ориентации, а также геолокация. Некоторые координаты были настолько точными, что позволяли определить местоположение пользователей с точностью до улицы.
Raw, запущенный в 2023 году, позиционируется как сервис для более искреннего общения, где пользователи ежедневно загружают селфи. Компания не раскрывает точное количество пользователей, но в Google Play Store указано более 500 000 установок приложения на Android.
Новость об утечке появилась вскоре после анонса Raw Ring — носимого устройства, которое, по заявлениям стартапа, позволит отслеживать сердечный ритм партнёра и другие биометрические данные для генерации AI-инсайтов, направленных на обнаружение измен.
Несмотря на этические вопросы, связанные с отслеживанием партнёров, и риски эмоционального surveillance, Raw заявляет на своём сайте и в политике конфиденциальности, что использует сквозное шифрование — технологию, которая, по идее, должна предотвращать доступ к данным даже со стороны компании.
Однако при тестировании приложения TechCrunch не обнаружил признаков сквозного шифрования. Вместо этого выяснилось, что данные пользователей были доступны любому, у кого есть веб-браузер.
Утечка была устранена в среду после обращения TechCrunch. Сооснователь Raw Марина Андерсон заявила, что «все уязвимые endpoints теперь защищены», а компания внедрила «дополнительные меры безопасности». При этом она подтвердила, что приложение никогда не проходило независимый аудит безопасности, сославшись на фокус на «создании качественного продукта».
Anderson отказалась гарантировать уведомление пострадавших пользователей, пообещав лишь предоставить отчёт регуляторам. Срок, в течение которого данные оставались открытыми, неизвестен — расследование инцидента продолжается.
На вопрос о противоречии между заявлением о сквозном шифровании и реальной практикой Anderson ответила, что Raw «использует шифрование при передаче и контролирует доступ к данным», пообещав «прояснить дальнейшие шаги после анализа ситуации».
**Как обнаружили утечку**
При тестировании приложения на виртуальном Android-устройстве TechCrunch создал аккаунт с фиктивными данными, установив локацию в Маунтин-Вью (Калифорния). Анализ сетевого трафика показал, что сервер Raw возвращал профили пользователей без проверки авторизации.
Достаточно было ввести в браузере адрес api.raw.app/users/ с 11-значным ID любого пользователя, чтобы получить его приватные данные, включая точные координаты. Эта уязвимость, известная как Insecure Direct Object Reference (IDOR), позволяет получать чужие данные из-за отсутствия проверки прав доступа.
Как ранее объясняли в CISA, IDOR-уязвимости сравнимы с ключом, открывающим все почтовые ящики на улице. После исправления бага сервер Raw перестал возвращать данные через браузер.