Raw uygulamasındaki güvenlik açığı, kullanıcıların kişisel verilerini ve özel konum bilgilerini ifşa etti.
Veri İfşası
TechCrunch’ın yaptığı araştırmaya göre, Raw isimli flört uygulaması, kullanıcılarının görüntü isimleri, doğum tarihleri, flört ve cinsel tercihleri gibi bilgilerini ve konum verilerini açığa çıkardı. Bu verilerden bazıları, kullanıcıların bulunduğu yerlerin sokağa kadar hassas bir şekilde belirlenmesine olanak tanıyacak şekilde ayrıntılıydı.
Raw Uygulaması ve Yenilikleri
2023 yılında piyasaya sürülen Raw, kullanıcılarına daha gerçekçi etkileşimler sunmayı amaçlayan bir flört uygulaması. Günlük özçekim fotoğrafları yüklemeyi teşvik ederek diğer kullanıcılara daha samimi bir deneyim yaratmayı hedefliyor. Şu an için tam kullanıcı sayısını açıklamayan Raw, Google Play Store’da 500.000’den fazla indirme sayısına ulaştığını belirtiyor.
Güvenlik açığının ortaya çıkması, Raw uygulamasının, sunduğu yeni donanım, Raw Ring adlı bir giyilebilir cihazı tanıttığı haftaya denk geldi. Bu cihaz, kullanıcıların partnerlerinin kalp atışını ve diğer sensör verilerini takip ederek yapay zeka yardımıyla aldatma tespit etmeye çalışacağını iddia ediyor.
Açık Güvenlik Sorunları
Raw uygulamasının hem приложение, hem de henüz piyasaya sürülmemiş cihazının, tüm kullanıcı verilerini yalnızca kullanıcıya sunan uçtan uca şifreleme kullandığı iddia ediliyor. Ancak, TechCrunch, uygulamanın ağ trafiğini incelediğinde bu güvenlik önlemlerine dair herhangi bir kanıt bulamadı. Uygulama, sadece web tarayıcısı olan herkese açık bir şekilde kullanıcıların verilerini sızdırıyordu.
TechCrunch, şirketle iletişime geçtikten sonra, Raw bu güvenlik açığını hızlı bir şekilde düzeltti. Ko-fondatör Marina Anderson, “Daha önce sızdırılan tüm uç noktalar güvence altına alındı ve benzer sorunların oluşmasını önlemek için ek önlemler alındı.” dedi.
Güvenlik Denetimi ve Kullanıcı Bilgilendirmeleri
TechCrunch’ın sorularını yanıtlayan Anderson, şirketin uygulama üzerinde üçüncü taraf bir güvenlik denetimi gerçekleştirmediğini belirtti. “Amacımız, yüksek kaliteli bir ürün geliştirmek ve büyüyen topluluğumuzla anlamlı bir şekilde etkileşimde bulunmaktır.” şeklinde ekledi.
Anderson, haksız yere bilgi sızdırılan kullanıcıları proaktif olarak bilgilendirme niyetinde olmadıklarını, ancak ilgili veri koruma otoritelerine detaylı bir rapor sunacaklarını vurguladı.
Güvenlik Açığının Bulunuşu
TechCrunch, uygulamadaki bu hatayı kısa bir test sırasında keşfetti. Sanal bir Android cihazına Raw uygulamasını kurarak kullanıcı hesabı oluşturdular. Uygulama, kullanıcının profil bilgilerinin doğrudan sunucudan alındığını, ancak sunucunun bu verileri korumadığını ortaya koydu.
Veri ihlali, yetkisiz erişimle kritik bilgilere ulaşmanın yanı sıra, genellikle doğrudan nesne referansı açığı (IDOR) olarak adlandırılan bir güvenlik zafiyetini göstermektedir. Bu tür bir açık, bir kullanıcının erişim izinlerini kontrol etmeden başka kullanıcıların verilerine erişmesine izin verebilir.
TechCrunch, bu veri sızdırma durumunun ne kadar süredir devam ettiğini bilmediğini, ancak Raw’ın hâlâ olayla ilgili bir soruşturma yürüttüğünü ifade etti. Şirket, durumu analiz ettikten sonra daha ileri adımlar atacaklarını belirtti.
