Ứng dụng hẹn hò Raw Lộ Dữ Liệu Người Dùng, Bao Gồm Vị Trí và Sở Thích Tình Dục

Ứng dụng Raw rò rỉ vị trí người dùng và dữ liệu cá nhân do lỗi bảo mật lớn, gây ra lo ngại về thiết bị theo dõi mối quan hệ dựa trên AI mới của nó.

Một lỗi bảo mật nghiêm trọng trong ứng dụng hẹn hò Raw đã để lộ dữ liệu cá nhân và vị trí của người dùng cho bất kỳ ai trực tuyến, lần đầu tiên được tiết lộ bởi TechCrunch. Dữ liệu bị lộ lên tiết lộ tên người dùng, ngày sinh, sở thích tình dục, và tọa độ GPS chính xác cho phép theo dõi vị trí xuống đến cấp độ đường phố.

Raw được ra mắt vào năm 2023 đã đạt hơn 500.000 lượt tải xuống khi nó khuyến khích người dùng xây dựng mối quan hệ chân thành bằng cách yêu cầu tải lên selfie hàng ngày.

TechCrunch ghi nhận rằng tuần này, công ty cũng đã công bố một thiết bị đeo được, Raw Ring, khẳng định nó có thể giám sát nhịp tim của đối tác và cung cấp sự hiểu biết do AI tạo ra, có thể để phát hiện gian lận.

Mặc dù tuyên bố sử dụng mã hóa từ đầu đến cuối, TechCrunch không tìm thấy bất kỳ sự bảo vệ nào như vậy. Phân tích của họ cho thấy dữ liệu người dùng có thể được truy cập tự do thông qua trình duyệt bằng cách sử dụng địa chỉ web đã biết.

“Tất cả các điểm cuối trước đó đã bị lộ đều đã được bảo vệ, và chúng tôi đã triển khai thêm các biện pháp bảo vệ để ngăn chặn các vấn đề tương tự trong tương lai,” đồng sáng lập viên của Raw, Marina Anderson, đã nói qua email với TechCrunch.

Khi được hỏi, Anderson thừa nhận rằng ứng dụng chưa được kiểm tra an ninh bởi bên thứ ba. Cô thêm rằng công ty vẫn đang điều tra và sẽ “gửi một báo cáo chi tiết đến cơ quan bảo vệ dữ liệu liên quan theo quy định hiện hành.”

Tuy nhiên, TechCrunch lưu ý rằng cô không xác nhận liệu người dùng sẽ được thông báo một cách cá nhân hay không, hoặc nếu chính sách bảo mật sẽ được cập nhật.

TechCrunch giải thích rằng loại lỗ hổng được tìm thấy này được biết đến là tham chiếu đối tượng trực tiếp không an toàn (IDOR) – một lỗi phổ biến nhưng nguy hiểm. Điều này xảy ra khi ứng dụng sử dụng các định danh dễ đoán, như số hoặc tên tệp, để kiểm soát quyền truy cập vào dữ liệu.

Ví dụ, nếu hồ sơ của một người dùng được truy cập thông qua một URL có một số ở cuối (như /profile/123), kẻ tấn công có thể thay đổi số đó để xem hồ sơ của người khác (ví dụ, /profile/124). Nếu không có các kiểm tra bảo mật đúng cách, họ có thể khai thác điều này và truy cập hoặc sửa đổi dữ liệu mà họ không nên có quyền truy cập.

Các nhà nghiên cứu bảo mật tại TechCrunch phát hiện ra lỗi thông qua một bài kiểm tra với dữ liệu và vị trí giả lập, chỉ sau vài phút đã tiết lộ sự rò rỉ này. Lỗi này cho phép người dùng tiếp cận các hồ sơ bằng cách chỉnh sửa một số duy nhất trong địa chỉ web của ứng dụng trước khi các nhà phát triển khắc phục vấn đề.

Mặc dù đã được sửa chữa, nhưng vẫn còn những lo ngại về các thực hành dữ liệu của Raw và khả năng giám sát xâm nhập của thiết bị mới của họ.