تعرض تطبيق المواعدة Raw بيانات المستخدمين، بما في ذلك الموقع والتفضيلات الجنسية

تسربت التطبيق الخام مواقع المستخدمين والبيانات الشخصية بسبب خلل أمني كبير، مما أثار المخاوف حول جهازها الجديد لتتبع العلاقات الذي يعمل بالذكاء الصناعي.

كشفت ثغرة أمنية خطيرة في تطبيق المواعدة Raw عن بيانات المستخدمين الشخصية وموقعهم لأي شخص على الإنترنت، كما كشف أولاً TechCrunch. كانت البيانات المكشوفة تكشف أسماء المستخدمين، وتواريخ ميلادهم، وتفضيلاتهم الجنسية، وإحداثيات GPS الدقيقة التي تسمح بتتبع الموقع حتى مستوى الشارع.

تم إطلاق Raw في عام 2023 ووصل عدد التنزيلات إلى أكثر من 500,000 تنزيل، حيث تشجع المستخدمين على بناء علاقات حقيقية من خلال طلب رفع صور سيلفي يومية.

ذكرت تيك كرانش هذا الأسبوع أن الشركة أعلنت أيضًا عن جهاز قابل للارتداء، وهو Raw Ring، تدعي أنه يمكنه مراقبة معدل ضربات قلب الشريك وتقديم رؤى مولدة بواسطة الذكاء الاصطناعي، ربما لكشف الخيانة.

بالرغم من الادعاءات بأنهم يستخدمون التشفير من النهاية إلى النهاية، لم يجد TechCrunch أي حمايات من هذا القبيل. أظهرت تحليلاتهم أنه يمكن الوصول بحرية إلى بيانات المستخدم من خلال متصفح باستخدام عنوان ويب معروف.

“تم تأمين جميع النقاط المعرضة سابقاً، وقد قمنا بتنفيذ إجراءات وقائية إضافية لمنع حدوث مشكلات مماثلة في المستقبل،” قالت مارينا أندرسون، المؤسسة المشاركة لـ Raw، عبر البريد الإلكتروني إلى TechCrunch.

عندما سُئلت، اعترفت أندرسون بأن التطبيق لم يخضع لأي تدقيقات أمنية من طرف ثالث. وأضافت أن الشركة ما زالت تحقق وستقوم بـ “تقديم تقرير مفصل للسلطات المعنية بحماية البيانات بموجب اللوائح المعمول بها.”

ومع ذلك، لاحظت TechCrunch أنها لم تؤكد ما إذا كان سيتم إعلام المستخدمين بشكل فردي، أو إذا كان سيتم تحديث سياسة الخصوصية.

توضح TechCrunch أن هذا النوع من الثغرات الأمنية المكتشفة يعرف بتسمية اشارة الكائن المباشر الغير آمنة (IDOR) – وهو عيب شائع ولكنه خطير. يحدث هذا عندما تستخدم التطبيقات معرفات سهلة التخمين، مثل الأرقام أو أسماء الملفات، للتحكم في الوصول إلى البيانات.

على سبيل المثال، إذا تم الوصول إلى ملف تعريف المستخدم عبر URL يحتوي على رقم في النهاية (مثل /profile/123)، فقد يتغير هذا الرقم لعرض ملف تعريف شخص آخر (مثلاً، /profile/124). دون إجراء فحوصات أمان مناسبة، يمكن أن يستغل الهاكرين هذا ويصلوا أو يعدلوا البيانات التي لا يجب أن يتمكنوا من الوصول إليها.

اكتشف الباحثون في مجال الأمن في TechCrunch الثغرة من خلال اختبار مع بيانات وموقع محاكاة كشفت عن التسرب في بضع دقائق فقط. سمحت الثغرة للمستخدمين بالوصول إلى الملفات الشخصية عن طريق تعديل رقم واحد في عنوان الويب للتطبيق قبل أن يقوم المطورون بإصلاح المشكلة.

رغم الإصلاح، لا تزال هناك مخاوف بشأن ممارسات Raw للبيانات والقدرة المحتملة لجهازها الجديد على الإشراف الغازي.