Aplikasi kencan yang, hanya minggu ini, mengumumkan dapat digunakan baru menakutkan, telah ditemukan memiliki data tentang pengguna yang terbuka secara publik. Data granular dan pribadi, termasuk estimasi lokasi mereka.
Aplikasi ini, RAW, mengatakan itu didedikasikan untuk mempromosikan “cinta sejati dan tanpa filter” melalui antarmuka pengguna yang unik, yang menyerupai kenyataan (menggunakan kamera depan dan belakang ponsel Anda), tetapi untuk kencan. RAW juga baru -baru ini diumumkan perangkat keras baru yang aneh, yang disebut Raw Ring, yang dimaksudkan untuk memungkinkan pengguna melacak lokasi kekasih mereka untuk memastikan mereka tidak curang (tidak ada cara yang dapat menyebabkan skenario masalah, bukan?). Sayangnya, akan terlihat bahwa RAW juga telah mempromosikan sesuatu yang lain dengan cara yang cukup “tanpa filter”: data pengguna.
TechCrunch melaporkan bahwa karena kurangnya perlindungan keamanan digital dasar, Raw secara tidak sengaja meninggalkan informasi pribadi pengguna terbuka untuk inspeksi publik. Memang, sebelum minggu ini, siapa pun yang memiliki browser web akan dapat mengakses informasi pengguna aplikasi terperinci, termasuk tanggal lahir, nama tampilan, preferensi seksual, dan data di “tingkat jalan” yang cukup spesifik.
TechCrunch mengatakan dia menemukan kurangnya keamanan selama tes singkat aplikasi perusahaan. RAW diunduh ke perangkat Android yang divisualisasikan, dan kemudian staf TC menggunakan alat pemantauan jaringan untuk mengamati data yang dikirim ke dan dari aplikasi. Analisis menunjukkan bahwa data pribadi tidak dilindungi dengan penghalang otentikasi. TC mengatakan menemukan masalah di “beberapa menit” pertama menggunakan aplikasi. TC juga mencatat bahwa, sementara Raw mengaku melindungi pengguna dengan enkripsi tip untuk berakhir, tidak ada bukti bahwa E2EE ada. Mereka mematahkan kesenjangan keamanan seperti itu:
Ketika kami pertama kali memuat aplikasi, kami menemukan bahwa itu menarik informasi profil pengguna langsung dari server perusahaan, tetapi server tidak melindungi data yang dikembalikan oleh otentikasi apa pun. Dalam praktiknya, itu berarti siapa pun dapat mengakses informasi pribadi pengguna lain dengan menggunakan browser web untuk mengunjungi alamat server web terbuka –
api.raw.app/users/diikuti oleh nomor 11 digit unik yang sesuai dengan aplikasi lain. Mengubah digit agar sesuai dengan identifikasi 11 digit pengguna lain yang mengembalikan informasi pribadi dari profil pengguna, termasuk data lokasi mereka. Kerentanan semacam ini dikenal sebagai referensi objek langsung yang tidak aman, atau IDOR, jenis bug yang dapat memungkinkan seseorang untuk mengakses atau memodifikasi data di server orang lain karena kurangnya pemeriksaan keamanan yang tepat pada pengguna yang mengakses data.
Gizmodo mencapai RAW untuk informasi lebih lanjut. Menurut pernyataan yang dibuat untuk TechCrunch, masalah keamanan telah ditambal pada hari Rabu. “Semua poin akhir yang sebelumnya diekspos telah diamankan, dan kami telah menerapkan perlindungan tambahan untuk mencegah masalah serupa di masa depan,” Marina Anderson, salah satu pendiri aplikasi kencan mentah, mengatakan kepada outlet.
Tidak jarang bagi perusahaan untuk mendapatkan data pengguna yang kurang aman. Aneh yang mungkin didengar, keamanan bukanlah prioritas besar dalam industri perangkat lunak. Ini bisa memakan waktu, mahal, dan dapat memperlambat suku cadang produksi lainnya, sehingga banyak perusahaan tidak peduli. Namun, dengan aplikasi kencan yang didedikasikan untuk menangani data pengguna (secara harfiah) dan pembayaran yang paling intim dan jelas -jelas untuk menghabiskan sedikit lebih banyak waktu mengunci barang. Seperti yang mereka katakan: Bungkus sebelum Anda mengetuk.
NewsRoom.id
