约会应用程序原始曝光用户的位置数据和个人信息

TechCrunch发现了约会应用程序的安全失误，将其用户的个人数据和私人位置数据公开曝光。

暴露的数据包括用户的显示名称，与RAW应用相关的出生日期，约会和性偏好以及用户的位置。某些位置数据包括足够特定的坐标，可以找到具有街道准确性的原始应用程序用户。

RAW于2023年推出，是一个约会应用程序，声称可以通过要求用户上传每日自拍照照片来与他人提供更多真正的互动。该公司没有透露其拥有多少用户，但迄今为止，其应用程序列表在Google Play商店中列出了超过500,000个Android下载。

有关安全失误的新闻是在同一周的初创公司宣布其约会应用程序的硬件延长，Raw Ring，这是一种未发布的可穿戴设备，它声称该设备将允许应用程序用户跟踪其合作伙伴＆＃8217; S心率和其他传感器数据，以接受AI生成的见解，表面上检测不忠。

尽管有道德和道德问题的追踪浪漫伴侣以及情绪监视的风险，在其网站上的原始主张以及其隐私政策中，其应用程序及其未释放的设备都使用端到端加密，都使用端到端的安全功能，可以预防包括公司在内的任何人（包括公司）的任何人，包括访问数据。

当我们本周尝试该应用程序（包括对应用程序网络流量的分析）时，TechCrunch没有发现该应用程序使用端到端加密的证据。取而代之的是，我们发现该应用程序正在公开向具有Web浏览器的任何人提供有关其用户的数据。

RAW在TechCrunch与该公司联系后不久将数据曝光修复了周三的数据。

“所有先前暴露的终点都已确保，我们已经实施了其他保障措施，以防止类似未来的问题。

当TechCrunch询问时，Anderson确认该公司没有对其应用进行第三方安全审核，并补充说，其“重点是建造高质量的产品并有意义地与我们成长中的社区进行有意义的参与。”

安德森（Anderson）不会承诺主动通知受影响的用户他们的信息已暴露，但该公司将“根据适用法规向相关数据保护当局提交详细报告。”

尚不知道该应用程序公开溢出了用户的数据多长时间。安德森说，该公司仍在调查事件。

关于该应用程序使用端到端加密的说法，Anderson说，RAW“在运输中使用加密，并为我们的基础架构内的敏感数据执行访问控件。彻底分析情况后，将明确进一步的步骤。”

安德森（Anderson）在询问时不会说公司是否计划调整其隐私政策，而安德森（Anderson）也没有回复TechCrunch的后续电子邮件。

TechCrunch在周三对该应用程序的简短测试中发现了该错误。作为测试的一部分，我们在虚拟化的Android设备上安装了RAW约会应用程序，该应用程序允许我们使用该应用，而无需提供任何实际数据，例如我们的物理位置。

我们创建了一个带有虚拟数据的新用户帐户，例如名称和出生日期，并配置了我们虚拟设备的位置，就像我们在加利福尼亚州山景城的一个博物馆一样。当该应用要求我们虚拟设备的位置时，我们允许应用程序访问我们的精确位置至几米。

我们使用网络流量分析工具来监视和检查流入和流出的数据RAW应用程序，它使我们能够了解该应用程序的工作原理以及该应用程序上传有关用户的哪些数据。

TechCrunch在使用RAW应用程序的几分钟内发现了数据曝光。当我们第一次加载该应用程序时，我们发现它直接从公司的服务器中获取了用户的个人资料信息，但是服务器没有使用任何身份验证来保护返回的数据。

实际上，这意味着任何人都可以通过使用Web浏览器访问暴露服务器的网址-API.RAW.APP/USERS/访问任何其他用户的私人信息，然后是与另一个应用程序用户相对应的唯一11二元数字。将数字更改为与任何其他用户的11位标识符相对应，从该用户的配置文件（包括其位置数据）返回的私人信息。

这种脆弱性被称为INSECU重新直接对象引用或biDor，一种错误，可以允许某人访问或修改他人服务器上的数据，因为缺乏对用户访问数据的正确安全检查。

正如我们之前所解释的那样，IDOR错误类似于拥有私人邮箱的钥匙，但是该钥匙也可以解锁同一条街道上的所有其他邮箱。因此，可以轻松利用IDOR错误，并在某些情况下被列举，从而在记录用户数据后访问记录。

美国。网络安全机构CISA长期以来一直警告说，IDOR错误的风险，包括“大规模”访问敏感数据的能力。 CISA在2023年的咨询中表示，作为设计计划的一部分，开发人员应确保其应用程序执行适当的身份验证和授权检查。

由于RAW修复了该错误，因此暴露的服务器不再返回浏览器中的用户数据。