L’app di incontri Raw espone i dati degli utenti, incluso la località e le preferenze sessuali

L’app Raw ha rivelato la posizione degli utenti e i dati personali a causa di un grave difetto di sicurezza, suscitando preoccupazioni sul suo nuovo dispositivo di monitoraggio delle relazioni alimentato da intelligenza artificiale.

Un grave difetto di sicurezza nell’app di incontri Raw ha esposto i dati personali e di posizione degli utenti a chiunque online, come rivelato per la prima volta da TechCrunch. I dati esposti rivelavano i nomi degli utenti, le date di nascita, le preferenze sessuali e le esatte coordinate GPS che permettevano il tracciamento della posizione fino al livello stradale.

Raw, lanciato nel 2023, ha raggiunto oltre 500.000 download e incoraggia gli utenti a costruire relazioni autentiche richiedendo l’upload quotidiano di selfie.

TechCrunch segnala che questa settimana, l’azienda ha anche annunciato un dispositivo indossabile, il Raw Ring, sostenendo che può monitorare la frequenza cardiaca del partner e offrire intuizioni generate dall’IA, potenzialmente per individuare un tradimento.

Nonostante le affermazioni di utilizzo della crittografia end-to-end, TechCrunch non ha trovato tali protezioni. La loro analisi ha mostrato che i dati degli utenti potevano essere liberamente accessibili attraverso un browser utilizzando un indirizzo web noto.

“Tutti i punti finali precedentemente esposti sono stati resi sicuri, e abbiamo implementato ulteriori salvaguardie per prevenire problemi simili in futuro”, ha detto via email a TechCrunch Marina Anderson, co-fondatrice di Raw.

Quando interrogata, Anderson ha ammesso che l’app non ha subito alcun controllo di sicurezza da parte di terzi. Ha aggiunto che l’azienda sta ancora indagando e presenterà “una relazione dettagliata alle autorità di protezione dei dati pertinenti in base alle normative applicabili.”

Tuttavia, TechCrunch nota che non ha confermato se gli utenti saranno notificati individualmente, o se la politica sulla privacy sarà aggiornata.

TechCrunch spiega che questo tipo di vulnerabilità trovata è conosciuta come un riferimento diretto a un oggetto insicuro (IDOR), un bug comune ma pericoloso. Questo si verifica quando l’app utilizza identificatori facilmente indovinabili, come numeri o nomi di file, per controllare l’accesso ai dati.

Ad esempio, se il profilo di un utente è accessibile tramite un URL con un numero alla fine (come /profilo/123), un attaccante potrebbe cambiare quel numero per visualizzare il profilo di qualcun altro (ad esempio, /profilo/124). Senza adeguati controlli di sicurezza, possono sfruttare questo e accedere o modificare dati a cui non dovrebbero avere accesso.

I ricercatori di sicurezza di TechCrunch hanno rilevato la falla attraverso un test con dati e posizione simulati che ha rivelato la perdita di dati in pochi minuti. La falla permetteva agli utenti di accedere ai profili modificando un singolo numero nell’indirizzo web dell’applicazione prima che gli sviluppatori risolvessero il problema.

Nonostante la correzione, permangono preoccupazioni sulle pratiche di gestione dei dati di Raw e sul potenziale del suo nuovo dispositivo per una sorveglianza invasiva.