W wyniku luki w zabezpieczeniach aplikacji randkowej Raw, ujawnione zostały dane osobowe oraz lokalizacyjne jej użytkowników. Incydent został odkryty przez TechCrunch, a dane były dostępne publicznie przez nieokreślony czas. Aplikacja, która zadebiutowała w 2023 roku, twierdzi, że oferuje autentyczne interakcje między użytkownikami.
- W wyniku luki w zabezpieczeniach aplikacji Raw ujawniono dane osobowe i lokalizacyjne użytkowników.
- Dane były dostępne publicznie przez nieokreślony czas, w tym imiona, daty urodzenia oraz preferencje randkowe.
- Firma Raw ogłosiła wprowadzenie nowego urządzenia Raw Ring, które ma monitorować tętno partnera.
- TechCrunch nie znalazł dowodów na stosowanie szyfrowania end-to-end przez aplikację Raw.
- Po kontakcie z TechCrunch, Raw naprawił lukę w zabezpieczeniach.
Ujawnione dane użytkowników
W wyniku naruszenia zabezpieczeń, do publicznej wiadomości trafiły takie informacje jak imiona wyświetlane, daty urodzenia oraz preferencje dotyczące randek i życia seksualnego użytkowników. Co więcej, dane lokalizacyjne były na tyle precyzyjne, że umożliwiały zlokalizowanie użytkowników aplikacji na poziomie ulicy.
Nowe urządzenie Raw
W tym samym tygodniu, w którym ujawniono lukę, firma ogłosiła wprowadzenie nowego urządzenia, Raw Ring. To niewydane jeszcze urządzenie noszone ma umożliwiać użytkownikom aplikacji monitorowanie tętna partnera oraz innych danych sensorycznych, co ma dostarczać informacji generowanych przez sztuczną inteligencję, rzekomo w celu wykrywania niewierności.
Problemy z bezpieczeństwem
Pomimo zapewnień Raw o stosowaniu szyfrowania end-to-end, TechCrunch nie znalazł dowodów na to, że aplikacja rzeczywiście korzysta z tej technologii. Zamiast tego, odkryto, że dane użytkowników były publicznie dostępne dla każdego, kto miał dostęp do przeglądarki internetowej.
Reakcja firmy Raw
Po kontakcie z TechCrunch, Raw naprawił lukę w zabezpieczeniach. Marina Anderson, współzałożycielka aplikacji, poinformowała, że „wszystkie wcześniej ujawnione punkty końcowe zostały zabezpieczone, a dodatkowe środki ostrożności zostały wdrożone, aby zapobiec podobnym problemom w przyszłości”.
Brak audytu bezpieczeństwa
Anderson przyznała, że firma nie przeprowadziła audytu bezpieczeństwa przez stronę trzecią. Zaznaczyła, że „skupiamy się na budowaniu wysokiej jakości produktu i angażowaniu się w sposób znaczący z naszą rosnącą społecznością”. Nie potwierdziła również, czy użytkownicy, których dane zostały ujawnione, zostaną proaktywnie powiadomieni o incydencie.
Wnioski z incydentu
Nie jest obecnie jasne, jak długo dane użytkowników były publicznie dostępne. Anderson dodała, że firma wciąż prowadzi dochodzenie w tej sprawie. W odniesieniu do zapewnień o szyfrowaniu end-to-end, stwierdziła, że Raw „stosuje szyfrowanie w tranzycie i egzekwuje kontrole dostępu do wrażliwych danych w naszej infrastrukturze”.