TechCrunch descubrió que un lapso de seguridad en Dating App RAW expuso públicamente los datos personales y los datos de ubicación privada de sus usuarios.
Los datos expuestos incluyeron los nombres de visualización de los usuarios, fechas de nacimiento, citas y preferencias sexuales asociadas con la aplicación RAW, así como las ubicaciones de los usuarios. Algunos de los datos de ubicación incluyeron coordenadas que eran lo suficientemente específicas como para ubicar a los usuarios de aplicaciones sin procesar con precisión a nivel de la calle.
Raw, que se lanzó en 2023, es una aplicación de citas que afirma ofrecer interacciones más genuinas con otros en parte al pedir a los usuarios que carguen fotos de selfies diarios. La compañía no revela cuántos usuarios tiene, pero su lista de aplicaciones en las notas de Google Play Store notas más de 500,000 descargas de Android hasta la fecha.
La noticia del lapso de seguridad se produce en la misma semana que la startup anunció una extensión de hardware de su aplicación de citas, el anillo sin procesar, un dispositivo portátil inédito que afirma que permitirá a los usuarios de aplicaciones rastrear la frecuencia cardíaca de su pareja y otros datos de sensores para recibir ideas generadas por IA, aparentemente para detectar la infidelidad.
A pesar de las cuestiones morales y éticas de rastrear a las parejas románticas y los riesgos de la vigilancia emocional, reclamos sin procesar en su sitio web y en su política de privacidad que su aplicación y su dispositivo inédito, ambos usan el cifrado de extremo a extremo, una característica de seguridad que evita que cualquier otro que no sea el usuario, incluida la compañía, acceda a los datos.
Cuando probamos la aplicación esta semana, que incluyó un análisis del tráfico de red de la aplicación, TechCrunch no encontró evidencia de que la aplicación use el cifrado de extremo a extremo. En cambio, descubrimos que la aplicación estaba derramando públicamente datos sobre sus usuarios a cualquier persona con un navegador web.
Raw solucionó la exposición de datos el miércoles, poco después de que TechCrunch contactó a la compañía con detalles del error.
“Todos los puntos finales previamente expuestos se han asegurado, y hemos implementado salvaguardas adicionales para evitar problemas similares en el futuro”, dijo Marina Anderson, cofundadora de la aplicación de citas Raw, a TechCrunch por correo electrónico.
Cuando TechCrunch le preguntó, Anderson confirmó que la compañía no había realizado una auditoría de seguridad de terceros de su aplicación, y agregó que “el enfoque permanece en construir un producto de alta calidad y participar significativamente con nuestra creciente comunidad”.
Anderson no se comprometería a notificar de manera proactiva a los usuarios afectados que su información estaba expuesta, pero dijo que la compañía “presentaría un informe detallado a las autoridades de protección de datos relevantes bajo las regulaciones aplicables”.
No se sabe de inmediato cuánto tiempo la aplicación estaba derramando públicamente los datos de sus usuarios. Anderson dijo que la compañía todavía estaba investigando el incidente.
Con respecto a su afirmación de que la aplicación utiliza el cifrado de extremo a extremo, Anderson dijo que “utiliza el cifrado en tránsito y hace cumplir los controles de acceso para datos confidenciales dentro de nuestra infraestructura. Otros pasos serán claros después de analizar completamente la situación”.
Anderson no dijo, cuando se le preguntó, si la compañía planea ajustar su política de privacidad, y Anderson no respondió a un correo electrónico de seguimiento de TechCrunch.
Cómo encontramos los datos expuestos
TechCrunch descubrió el error el miércoles durante una breve prueba de la aplicación. Como parte de nuestra prueba, instalamos la aplicación de citas sin procesar en un dispositivo Android virtualizado, que nos permite usar la aplicación sin tener que proporcionar datos del mundo real, como nuestra ubicación física.
Creamos una nueva cuenta de usuario con datos ficticios, como un nombre y fecha de nacimiento, y configuramos la ubicación de nuestro dispositivo virtual para que pareciera que estábamos en un museo en Mountain View, California. Cuando la aplicación solicitó la ubicación de nuestro dispositivo virtual, permitimos que la aplicación acceda a nuestra ubicación precisa a unos pocos metros.
Utilizamos una herramienta de análisis de tráfico de red para monitorear e inspeccionar los datos que fluyen dentro y fuera de la aplicación sin procesar, lo que nos permitió comprender cómo funciona la aplicación y qué tipo de datos estaba cargando sobre sus usuarios.
TechCrunch descubrió la exposición a los datos a los pocos minutos de usar la aplicación RAW. Cuando cargamos por primera vez la aplicación, descubrimos que estaba extrayendo la información del perfil del usuario directamente de los servidores de la compañía, pero que el servidor no estaba protegiendo los datos devueltos con ninguna autenticación.
En la práctica, eso significaba que cualquiera podría acceder a la información privada de cualquier otro usuario utilizando un navegador web para visitar la dirección web del servidor expuesto, api.raw.app/users/ seguido de un número único de 11 dígitos correspondiente a otro usuario de la aplicación. Cambio de los dígitos para corresponder con el identificador de 11 dígitos de cualquier otro usuario devolvió información privada del perfil de ese usuario, incluidos sus datos de ubicación.
Este tipo de vulnerabilidad se conoce como una referencia de objeto directo inseguro, o IDOR, un tipo de error que puede permitir que alguien acceda o modifique datos en el servidor de otra persona debido a la falta de verificaciones de seguridad adecuadas en el usuario que accede a los datos.
Como hemos explicado antes, Idor Bugs es similar a tener una clave para un buzón privado, por ejemplo, pero esa clave también puede desbloquear cualquier otro buzón en esa misma calle. Como tal, los errores IDOR se pueden explotar con facilidad y en algunos casos enumerados, lo que permite el acceso al registro tras el registro de los datos del usuario.
La agencia de ciberseguridad estadounidense CISA ha advertido durante mucho tiempo sobre los riesgos que los errores están presentes, incluida la capacidad de acceder a datos típicamente confidenciales “a escala”. Como parte de su iniciativa Secure By Design, CISA dijo en un aviso de 2023 que los desarrolladores deben garantizar que sus aplicaciones realicen controles adecuados de autenticación y autorización.
Dado que Raw solucionó el error, el servidor expuesto ya no devuelve los datos del usuario en el navegador.
