Sebuah aplikasi kencan yang, hanya minggu ini, mengumumkan dapat dipakai baru yang menyeramkan, telah ditemukan memiliki data pengguna yang terbuka secara publik. Data itu granular dan pribadi, termasuk perkiraan lokasi mereka.
Aplikasi ini, RAW, mengatakan itu didedikasikan untuk mempromosikan “cinta nyata dan tanpa filter” melalui antarmuka penggunanya yang unik, yang menyerupai Bereal (menggunakan kamera depan dan belakang ponsel Anda), tetapi untuk berkencan. Raw juga baru -baru ini mengumumkan perangkat keras baru yang aneh, yang disebut Raw Ring, yang dimaksudkan untuk memungkinkan pengguna melacak lokasi kekasih mereka untuk memastikan mereka tidak curang (tidak ada cara yang bisa mengarah pada skenario bermasalah, kan?). Sayangnya, akan terlihat bahwa RAW juga telah mempromosikan sesuatu yang lain dengan cara yang cukup “tanpa filter”: data pengguna.
TechCrunch melaporkan bahwa karena kurangnya perlindungan keamanan digital dasar, RAW secara tidak sengaja meninggalkan informasi pribadi pengguna terbuka untuk inspeksi publik. Memang, sebelum minggu ini, siapa pun yang memiliki browser web akan dapat mengakses informasi pengguna aplikasi terperinci, termasuk tanggal lahir mereka, nama tampilan, preferensi seksual, dan data lokasi “tingkat jalan” yang cukup spesifik.
TechCrunch mengatakan menemukan kekurangan keamanan selama tes singkat aplikasi perusahaan. RAW diunduh ke perangkat Android tervirtualisasi, dan kemudian staf TC menggunakan alat pemantauan jaringan untuk mengamati data yang dikirim ke dan dari aplikasi. Analisis menunjukkan bahwa data pribadi tidak dilindungi dengan penghalang otentikasi apa pun. TC mengatakan itu menemukan masalah dalam “beberapa menit” pertama menggunakan aplikasi. TC juga mencatat bahwa, sementara RAW mengklaim untuk melindungi pengguna dengan enkripsi ujung ke ujung, tidak ada bukti bahwa E2EE ada. Mereka memecah celah keamanan seperti itu:
Ketika kami pertama kali memuat aplikasi, kami menemukan bahwa itu menarik informasi profil pengguna langsung dari server perusahaan, tetapi server tidak melindungi data yang dikembalikan dengan otentikasi apa pun. Dalam praktiknya, itu berarti siapa pun dapat mengakses informasi pribadi pengguna lain dengan menggunakan browser web untuk mengunjungi alamat web server yang terbuka –
api.raw.app/users/diikuti oleh nomor 11 digit unik yang sesuai dengan pengguna aplikasi lain. Mengubah digit agar sesuai dengan pengidentifikasi 11 digit pengguna lain yang mengembalikan informasi pribadi dari profil pengguna tersebut, termasuk data lokasi mereka. Kerentanan semacam ini dikenal sebagai referensi objek langsung yang tidak aman, atau idor, jenis bug yang dapat memungkinkan seseorang untuk mengakses atau memodifikasi data di server orang lain karena kurangnya pemeriksaan keamanan yang tepat pada pengguna yang mengakses data.
Gizmodo menjangkau RAW untuk informasi lebih lanjut. Menurut pernyataan yang dibuat untuk TechCrunch, masalah keamanan telah ditambal pada hari Rabu. “Semua titik akhir yang sebelumnya diekspos telah diamankan, dan kami telah menerapkan perlindungan tambahan untuk mencegah masalah serupa di masa depan,” Marina Anderson, salah satu pendiri aplikasi kencan mentah, mengatakan kepada outlet.
Tidak jarang bagi perusahaan untuk mendapatkan data pengguna yang kurang aman. Aneh yang mungkin terdengar, keamanan bukanlah prioritas besar dalam industri perangkat lunak. Ini bisa memakan waktu, mahal, dan dapat memperlambat bagian produksi lain, sehingga banyak perusahaan tidak peduli dengan itu. Namun, dengan aplikasi kencan – bisnis yang didedikasikan untuk menangani data pengguna (secara harfiah) dan sensitif yang paling intim dan jelas -jelas membayar untuk menghabiskan sedikit lebih banyak waktu mengunci barang. Seperti yang mereka katakan: Bungkus sebelum Anda mengetuknya.
BN Nasional
