Aplicativo de Namoro Raw Expõe Dados do Usuário, Incluindo Localização e Preferências Sexuais

O aplicativo Raw vazou localizações de usuários e dados pessoais devido a uma grande falha de segurança, levantando preocupações sobre seu novo dispositivo de rastreamento de relacionamentos alimentado por IA.

Uma grave falha de segurança no aplicativo de encontros Raw expôs os dados pessoais e de localização dos usuários para qualquer pessoa online, conforme revelado inicialmente pelo TechCrunch. Os dados expostos revelaram os nomes dos usuários, datas de nascimento, preferências sexuais e coordenadas GPS exatas, permitindo o rastreamento de localização até o nível da rua.

Raw, lançado em 2023, alcançou mais de 500.000 downloads, incentivando os usuários a construir relações genuínas ao exigir uploads diários de selfies.

O TechCrunch destaca que nesta semana, a empresa também anunciou um dispositivo vestível, o Raw Ring, alegando que pode monitorar a frequência cardíaca de um parceiro e oferecer percepções geradas por IA, potencialmente para detectar traições.

Apesar das alegações de uso de criptografia de ponta a ponta, a TechCrunch não encontrou tais proteções. Sua análise mostrou que os dados do usuário podiam ser acessados livremente por meio de um navegador usando um endereço web conhecido.

“Todos os pontos de acesso previamente expostos foram protegidos, e implementamos salvaguardas adicionais para prevenir problemas semelhantes no futuro”, disse a co-fundadora da Raw, Marina Anderson, por email para a TechCrunch.

Quando questionada, Anderson admitiu que o aplicativo não passou por nenhuma auditoria de segurança de terceiros. Ela acrescentou que a empresa ainda está investigando e irá “submeter um relatório detalhado às autoridades de proteção de dados relevantes de acordo com as regulamentações aplicáveis”.

No entanto, o TechCrunch observa que ela não confirmou se os usuários seriam notificados individualmente, ou se a política de privacidade será atualizada.

A TechCrunch explica que esse tipo de vulnerabilidade encontrada é conhecida como referência direta de objeto inseguro (IDOR) – um bug comum, mas perigoso. Isso ocorre quando o aplicativo usa identificadores facilmente adivinháveis, como números ou nomes de arquivos, para controlar o acesso aos dados.

Por exemplo, se o perfil de um usuário é acessado por uma URL com um número no final (como /perfil/123), um invasor poderia alterar esse número para visualizar o perfil de outra pessoa (por exemplo, /perfil/124). Sem as devidas verificações de segurança, eles podem explorar isso e acessar ou modificar dados aos quais não deveriam ter acesso.

As pesquisadoras de segurança da TechCrunch detectaram a falha através de um teste com dados e localização simulados, que revelaram o vazamento em apenas alguns minutos. A falha permitia que os usuários acessassem perfis modificando um único número no endereço web do aplicativo antes que os desenvolvedores corrigissem o problema.

Apesar da correção, permanecem as preocupações sobre as práticas de dados da Raw e o potencial do seu novo dispositivo para vigilância invasiva.