تم العثور على تطبيق مواعدة ، هذا الأسبوع فقط ، عن إعلان جديد يمكن ارتداؤه ، أنه يحتوي على بيانات المستخدمين المعرضين للجمهور. كانت البيانات محببة وشخصية ، بما في ذلك مواقعها التقريبية.
يقول التطبيق ، RAW ، إنه مخصص للترويج “الحب الحقيقي وغير المطلق” من خلال واجهة المستخدم الفريدة الخاصة به ، والتي تشبه بيريال (يستخدم الكاميرات الأمامية والخلفية لهاتفك) ، ولكن للمواعدة. أعلنت RAW مؤخرًا عن جزء جديد من الأجهزة ، تسمى Raw Ring ، والتي تهدف إلى السماح للمستخدمين بتتبع موقع عشاقهم لضمان عدم الغش (لا توجد طريقة يمكن أن تؤدي إلى سيناريوهات إشكالية ، أليس كذلك؟). لسوء الحظ ، يبدو أن RAW قد تروج أيضًا لشيء آخر بطريقة “غير مفيدة”: بيانات المستخدمين.
تشير TechCrunch إلى أنه نظرًا لعدم وجود حماية للأمن الرقمي الأساسي ، فإن RAW كان يترك معلومات شخصية للمستخدمين بشكل غير صحيح عن التفتيش العام. في الواقع ، قبل هذا الأسبوع ، كان من الممكن أن يتمكن أي شخص لديه متصفح ويب من الوصول إلى معلومات مستخدم التطبيق التفصيلية ، بما في ذلك تاريخ ميلاده ، وأسماء العرض ، والتفضيلات الجنسية ، وبيانات الموقع المحددة “على مستوى الشارع”.
تقول TechCrunch إنها اكتشفت أوجه القصور الأمنية خلال اختبار موجز لتطبيق الشركة. تم تنزيل RAW على جهاز Android الظاهري ، ثم استخدم موظفو TC أداة لمراقبة الشبكة لمراقبة البيانات التي يتم نقلها من وإلى التطبيق. أظهر التحليل أن البيانات الشخصية لم تكن محمية بأي نوع من حاجز المصادقة. تقول TC إنها اكتشفت المشكلة خلال “دقائق قليلة” الأولى من استخدام التطبيق. يلاحظ TC أيضًا أنه على الرغم من أن المطالبات RAW بحماية المستخدمين من خلال التشفير الشامل ، إلا أنه لم يجد أي دليل على وجود E2EE. يقومون بتفكيك ثغرة الأمن مثل:
عندما قمنا بتحميل التطبيق لأول مرة ، وجدنا أنه يسحب معلومات ملف تعريف المستخدم مباشرة من خوادم الشركة ، لكن الخادم لم يكن يحمي البيانات التي تم إرجاعها بأي مصادقة. في الممارسة العملية ، هذا يعني أن أي شخص يمكنه الوصول إلى معلومات خاصة لأي مستخدم آخر باستخدام متصفح ويب لزيارة عنوان الويب الخاص بالخادم المكشوف –
api.raw.app/users/يليه رقم فريد من 11 رقمًا يتوافق مع مستخدم تطبيق آخر. قام تغيير الأرقام لتتوافق مع معرف أي مستخدم آخر مكون من 11 رقمًا بإرجاع المعلومات الخاصة من ملف تعريف هذا المستخدم ، بما في ذلك بيانات موقعه. يُعرف هذا النوع من الثغرة الأمنية باسم مرجع الكائن المباشر غير الآمن ، أو eDOR ، وهو نوع من الأخطاء التي يمكن أن تسمح لشخص ما بالوصول إلى البيانات أو تعديلها على خادم شخص آخر بسبب عدم وجود فحوصات أمان مناسبة على المستخدم للوصول إلى البيانات.
وصل Gizmodo إلى RAW لمزيد من المعلومات. وفقًا للبيانات التي أدليت بـ TechCrunch ، تم تصحيح مشكلات الأمن اعتبارًا من يوم الأربعاء. وقالت مارينا أندرسون ، المؤسس المشارك لتطبيق RAW Dating ، لـ The Outlet: “تم تأمين جميع نقاط النهاية المكشوفة سابقًا ، وقمنا بتنفيذ ضمانات إضافية لمنع مشكلات مماثلة في المستقبل”.
ليس من غير المألوف للشركات أن تتأمن بيانات المستخدم بشكل سيء. غريب كما قد يبدو ، ليس الأمن أولوية ضخمة بشكل خاص في صناعة البرمجيات. يمكن أن يكون مستهلكًا للوقت ومكلف ، وقد يتباطأ أجزاء أخرى من الإنتاج ، لذا فإن العديد من الشركات ببساطة لا تهتم بها. مع تطبيق المواعدة ، ومع ذلك – من الواضح أن الأعمال التجارية التي تكرس للتعامل مع البيانات الأكثر حميمية (حرفيًا) وبيانات حساسة – من الواضح أنها تدفع لقضاء المزيد من الوقت في قفل الأشياء. كما يقولون: لفها قبل النقر عليه.