Приложението за запознанства Raw е претърпяло уязвимост в сигурността, която е разкрила личните данни и данните за местоположението на потребителите на обществеността.
Теч на данни в приложението Raw беше открит от TechCrunch. Както се оказа, приложението е разкривало потребителски имена, дати на раждане, история на срещи и сексуални предпочитания на потребителите на Raw. Някои от данните включваха координати, които биха могли да определят местоположението на човек с точност до адреса на улицата.
Изданието отбелязва, че Raw е позиционирано като приложение за запознанства, което предлага „по-автентични“ взаимодействия с други хора, отчасти като моли потребителите да качват селфита ежедневно. Към днешна дата Google Play Store изброява над 500 000 изтегляния за Android.
Как Raw разкрива лични данни
Експерти откриха грешката по време на кратко тестване на приложението. Те инсталираха Raw на виртуализирано устройство с Android, създадоха потребителски акаунт с фиктивни данни като име и дата на раждане и зададоха местоположението на виртуалното устройство така, че да изглежда като музей в Маунтин Вю, Калифорния, САЩ. Достъп до мета местоположението на устройството също беше предоставен.
TechCrunch откри нарушението на данните в рамките на минути след използване на Raw. Установено е, че приложението извлича информация за потребителски профили директно от сървърите на компанията, но сървърът не е защитил върнатите данни с никакво удостоверяване.
Това означава, че всеки може да получи достъп до личната информация на друг потребител, като използва уеб браузър, за да посети уеб адреса на открития сървър - api.raw.app/users/, последван от уникален 11-цифрен номер.
Този тип уязвимост е известна като несигурна директна обектна препратка (IDOR) - вид недостатък, който може да позволи на някого да има достъп или да променя данни на чужд сървър поради липса на подходящи проверки за сигурност на потребителя, осъществяващ достъп до данните.
Както обясняват експертите, грешките в IDOR могат да се сравнят със ситуация, в която човек има ключ за лична пощенска кутия, но този ключ може да отключи и всички останали пощенски кутии на същата улица.
Съобщава се, че Raw е отстранила изтичането на данни, след като репортери са се свързали с компанията и са споделили подробности за проблема. Съоснователката на приложението Марина Андерсън потвърди, че компанията не е провеждала одит на сигурността на приложението си от трета страна.
„Всички предварително идентифицирани крайни точки са обезопасени и ние въведохме допълнителни мерки за сигурност, за да предотвратим подобни проблеми в бъдеще“, каза Андерсън.
След като Raw поправи грешката, уязвимият сървър вече не връща потребителски данни към браузъра. Все още не е известно от колко време приложението публично изтича данни на потребителите си. От Raw заявиха, че компанията „ще представи подробен доклад на съответните органи за защита на данните в съответствие с приложимите правила“.
Прочетете още
- 08:00 Млада жена "проверява" коли и входове на жилищни сгради в София, камери я заснеха
- 08:59 Нова ера в борбата с алергиите: Тестът ALEX2 e въведен в известна верига лаборатории
- 10:00 Опасно изпреварване на ТИР в населено място - без регистрационен номер, без отговорност ВИДЕО
- 11:00 Лекар от Казанлък: Смъртта е на крачка, животът – чудо
