Image by Jonas Leupe, from Unsplash
Dating-appen Raw Eksponerer Brukerdata, Inkludert Posisjon og Seksuelle Preferanser
Lesetid: 3 min.
Sist Oppdatert: May 6, 2025
-
![Kiara Fabbri]()
-
![Lokaliserings- og oversettelsesteamet]()
Oversatt av Lokaliserings- og oversettelsesteamet lokaliserings- og oversettelsestjenester
Raw-appen lekket brukerlokasjoner og personlige data på grunn av en stor sikkerhetsfeil, noe som reiser bekymringer rundt dens nye AI-drevne enhet for forholdssporing.
I en fart? Her er de viktige faktaene:
- Dataene inkluderte navn, fødselsdatoer og seksuelle preferanser – ingen kryptering funnet.
- Feilen var en IDOR-bug; hvem som helst kunne få tilgang til profiler via nettleser.
- Raw har ikke gjennomgått uavhengige sikkerhetsrevisjoner til tross for eksponeringen.
En alvorlig sikkerhetsfeil i datingappen Raw eksponerte brukeres personlige og stedsdata for alle på nettet, som først ble avslørt av TechCrunch. De eksponerte dataene avslørte brukernes navn, fødselsdatoer, seksuelle preferanser, og nøyaktige GPS-koordinater som tillot sporing av sted ned til gate-nivå.
Raw ble lansert i 2023 og nådde over 500 000 nedlastinger, samtidig som det oppfordrer brukerne til å bygge ekte relasjoner ved å kreve daglige selfie-opplastinger.
TechCrunch bemerker at selskapet denne uken også annonserte en bærbar enhet, Raw Ring, som hevder at den kan overvåke en partners hjertefrekvens og tilby AI-genererte innsikter, potensielt for å oppdage utroskap.
Til tross for påstander om bruk av ende-til-ende-kryptering, fant TechCrunch ingen slike beskyttelser. Deres analyse viste at brukerdata kunne aksesseres fritt gjennom en nettleser ved hjelp av en kjent nettadresse.
“Alle tidligere utsatte endepunkter er sikret, og vi har implementert ytterligere sikkerhetstiltak for å forhindre lignende problemer i fremtiden,” sa Raw medgründer Marina Anderson via e-post til TechCrunch.
Når hun ble spurt, innrømmet Anderson at appen ikke har gjennomgått noen tredjeparts sikkerhetsrevisjoner. Hun la til at selskapet fortsatt undersøker og vil «sende en detaljert rapport til de relevante databeskyttelsesmyndighetene i henhold til gjeldende forskrifter.»
Imidlertid bemerker TechCrunch at hun ikke bekreftet om brukerne vil bli varslet individuelt, eller om personvernpolitikken vil bli oppdatert.
TechCrunch forklarer at denne typen sårbarhet som er funnet, er kjent som en usikker direkte objektreferanse (IDOR) – en vanlig, men farlig feil. Dette skjer når appen bruker lett gjetbare identifikatorer, som tall eller filnavn, for å kontrollere tilgang til data.
For eksempel, hvis en brukers profil blir tilgjengelig via en URL med et tall på slutten (som /profil/123), kunne en angriper endre det tallet for å se noen andres profil (for eksempel, /profil/124). Uten riktig sikkerhetskontroll, kan de utnytte dette og få tilgang til eller endre data de ikke burde ha tilgang til.
Sikkerhetsforskerne hos TechCrunch oppdaget feilen gjennom en test med simulerte data og plassering som avdekket lekkasjen på bare noen få minutter. Feilen gjorde det mulig for brukere å få tilgang til profiler ved å endre et enkelt tall i applikasjonens nettadresse før utviklerne løste problemet.
Til tross for løsningen, er det fortsatt bekymringer rundt Raws databehandlingspraksis og det nye enhetens potensiale for invasiv overvåkning.
Forrige innlegg
Siste artikler 
