Image by Jonas Leupe, from Unsplash
Aplikace pro seznamování Raw vystavuje data uživatelů, včetně polohy a sexuálních preferencí
Doba čtení: 3 minut
Naposledy aktualizováno: May 6, 2025
-
![Kiara Fabbri]()
-
![Lokalizační a překladatelský tým]()
Překladatel Lokalizační a překladatelský tým Lokalizační a překladatelské služby
Aplikace Raw zveřejnila polohy uživatelů a osobní data kvůli vážné bezpečnostní chybě, což vyvolává obavy z jejího nového zařízení pro sledování vztahů poháněného umělou inteligencí.
Máte naspěch? Zde jsou rychlé fakty:
- Data obsahovala jména, narozeniny a sexuální preference – nebylo nalezeno žádné šifrování.
- Chyba byla IDOR bug; kdokoli mohl přistupovat k profilům prostřednictvím prohlížeče.
- Raw neprošel nezávislými bezpečnostními audity, přestože byl vystaven.
Vážná bezpečnostní chyba v seznamovací aplikaci Raw odhalila uživatelům osobní a polohová data jakékoliv osobě online, jak poprvé odhalil TechCrunch. Vystavená data odhalila uživatelům jména, data narození, sexuální preference a přesné GPS souřadnice umožňující sledování polohy až na úroveň ulice.
Raw, spuštěný v roce 2023, dosáhl více než 500 000 stažení, protože uživatele povzbuzuje k budování skutečných vztahů tím, že vyžaduje denní nahrávání selfie.
TechCrunch poznamenává, že tato týden společnost také oznámila nositelné zařízení, Raw Ring, které tvrdí, že dokáže sledovat srdeční frekvenci partnera a nabízet poznatky generované AI, potenciálně k odhalení nevěry.
Navzdory tvrzením o využívání šifrování z konce na konec, TechCrunch nenašel žádné takové ochrany. Jejich analýza ukázala, že k uživatelským datům lze volně přistupovat prostřednictvím prohlížeče pomocí známé webové adresy.
„Všechny dříve odhalené koncové body byly zabezpečeny a zavedli jsme další opatření, abychom v budoucnosti předešli podobným problémům,“ sdělila spoluzakladatelka Raw Marina Andersonová v e-mailu pro TechCrunch.
Když byla tázána, Andersonová přiznala, že aplikace neprošla žádným bezpečnostním auditorem třetí strany. Dodala, že společnost stále vyšetřuje a „podá podrobnou zprávu příslušným úřadům pro ochranu dat podle platných předpisů.“
TechCrunch nicméně poznamenal, že nepotvrdila, zda budou uživatelé informováni individuálně, nebo zda dojde k aktualizaci zásad ochrany soukromí.
TechCrunch vysvětluje, že tento typ nalezené zranitelnosti je známý jako nezabezpečený přímý odkaz na objekt (IDOR) – běžný, ale nebezpečný bug. K tomu dochází, když aplikace používá snadno uhodnutelné identifikátory, jako jsou čísla nebo názvy souborů, k ovládání přístupu k datům.
Například, pokud je profil uživatele přístupný pomocí URL s číslem na konci (jako /profil/123), útočník by mohl toto číslo změnit, aby si prohlédl profil někoho jiného (např. /profil/124). Bez řádných bezpečnostních kontrol mohou tuto skutečnost zneužít a získat přístup k datům, ke kterým by neměli mít přístup nebo je mohou upravit.
Bezpečnostní výzkumníci na TechCrunch odhalili chybu pomocí testu s simulovanými daty a lokalizací, který unikl během několika minut. Tato chyba umožnila uživatelům přistupovat k profilům prostřednictvím změny jednoho čísla v webové adrese aplikace, než vývojáři problém vyřešili.
Navzdory opravě stále zůstávají obavy ohledně datových postupů společnosti Raw a potenciálu nového zařízení pro invazivní sledování.
Předchozí článek
Nejnovější články 
