„TechCrunch“ rado „Dating App Raw Raw“ saugumo programą „RAW“ viešai atskleidė asmens ir privačių vietų duomenis.
Apdorotuose duomenyse buvo vartotojų rodymo pavadinimai, gimimo datos, pasimatymai ir seksualinės nuostatos, susijusios su neapdorota programa, taip pat vartotojų vieta. Kai kurie vietos duomenys apėmė koordinates, kurios buvo pakankamai specifinės, kad būtų galima rasti neapdorotų programų vartotojus, kurių tikslumas buvo gatvės lygis.
„Raw“, paleista 2023 m., Yra pažinčių programa, kuri teigia, kad iš dalies siūlo daugiau bendros sąveikos su kitais, paprašius vartotojų įkelti kasdienių asmenukių nuotraukas. Bendrovė neatskleidžia, kiek vartotojų ji turi, tačiau jos programų sąrašas „Google Play“ parduotuvės pastabose iki šiol daugiau nei 500 000 „Android“ atsisiuntimų.
Tą pačią savaitę žinios apie saugumo panaikinimą, kad „The Startup“ paskelbė apie savo pažinčių programos „Raw Ring“ aparatinės įrangos pratęsimą, neapdorotą žiedą, neišleistą nešiojamą įrenginį, kuris, jo teigimu, leis programų vartotojams sekti savo partnerio širdies ritmą ir kitus jutiklių duomenis, kad gautų AI sukurtas įžvalgas, matyt, aptikti neištikimybę.
Nepaisant romantiškų partnerių stebėjimo ir emocinio stebėjimo rizikos moralinių ir etinių klausimų, neapdorotų teiginių savo tinklalapyje ir savo privatumo politikoje, kad jos programa, ir jos neišleistas prietaisas, abu naudoja šifravimą nuo galo iki galo, saugumo funkciją, kuri užkerta kelią kitam, išskyrus vartotoją, įskaitant įmonę, nuo duomenų.
Kai šią savaitę išbandėme programą, kurioje buvo programos tinklo srauto analizė, „TechCrunch“ nerado įrodymų, kad programa naudoja šifravimą nuo galo iki galo. Vietoj to, mes nustatėme, kad programa viešai skleidė duomenis apie savo vartotojus visiems, turintiems žiniatinklio naršyklę.
RAW nustatė duomenų ekspoziciją trečiadienį, netrukus po to, kai „TechCrunch“ susisiekė su įmone su informacija apie klaidą.
„Visi anksčiau atskleisti galiniai taškai buvo užtikrinti, ir mes įgyvendinome papildomas apsaugos priemones, kad ateityje būtų išvengta panašių problemų“,-„TechCrunch“ el. Paštu pasakojo „Raw Dating App“ įkūrėja Marina Anderson.
Paklaustas „TechCrunch“, Andersonas patvirtino, kad bendrovė neatliko savo programos trečiųjų šalių saugumo audito, pridurdama, kad jos „ir toliau daugiausia dėmesio skiriama aukštos kokybės produkto kūrimui ir prasmingai bendraujant su mūsų augančia bendruomene“.
Andersonas neįsipareigos aktyviai pranešti paveiktiems vartotojams, kad jų informacija buvo atskleista, tačiau teigė, kad bendrovė „pateiks išsamią ataskaitą atitinkamoms duomenų apsaugos institucijoms pagal taikomus reglamentus“.
Ne iš karto žinoma, kiek laiko programa viešai skleidė savo vartotojų duomenis. Andersonas teigė, kad įmonė vis dar tiria įvykį.
Kalbant apie jos teiginį, kad programa naudoja šifravimą nuo galo iki galo, Andersonas teigė, kad RAW „naudoja šifravimą tranzito metu ir įgyvendina prieigos kontrolę neskelbtiniems duomenims mūsų infrastruktūroje. Kiti veiksmai bus aiškūs, išsamiai išanalizavus situaciją“.
Andersonas nepasakytų, kai paklaus, ar įmonė planuoja pakoreguoti savo privatumo politiką, o Andersonas neatsakė į tolesnį „TechCrunch“ el. Laišką.
Kaip mes radome atskleistus duomenis
Trečiadienį „TechCrunch“ atrado klaidą per trumpą programos testą. Vykdydami bandymą, mes įdiegėme „Raw Dating“ programą virtualizuotame „Android“ įrenginyje, kuris leidžia mums naudoti programą nepateikiant jokių realaus pasaulio duomenų, tokių kaip mūsų fizinė vieta.
Mes sukūrėme naują vartotojo abonementą su manekeno duomenimis, tokiais kaip pavadinimas ir gimimo data, ir sukonfigūravome mūsų virtualiojo įrenginio vietą, kad jie pasirodytų taip, lyg būtume muziejuje Mountain View mieste, Kalifornijoje. Kai programa paprašė mūsų virtualaus įrenginio vietos, mes leidome programai pasiekti tikslią vietą iki kelių metrų.
Mes panaudojome tinklo srauto analizės įrankį, norėdami stebėti ir patikrinti duomenis, tekančius ir iš jos iš jos, kuri leido mums suprasti, kaip veikia programa, ir kokius duomenis programa įkėlė apie jos vartotojus.
„TechCrunch“ atrado duomenų ekspoziciją per kelias minutes nuo neapdorotos programos naudojimo. Kai pirmą kartą įkeliome programą, mes nustatėme, kad ji traukia vartotojo profilio informaciją tiesiai iš įmonės serverių, tačiau serveris neapsaugojo grąžintų duomenų jokiu autentifikavimu.
Praktiškai tai reiškė api.raw.app/users/ Po to seka unikalus 11 skaitmenų numeris, atitinkantis kitą programos vartotoją. Skaitmenų pakeitimas, kad būtų atitiktas bet kurio kito vartotojo 11 skaitmenų identifikatorius, iš to vartotojo profilio grąžino asmeninę informaciją, įskaitant jų vietos duomenis.
Toks pažeidžiamumas yra žinomas kaip nesaugi tiesioginio objekto nuoroda arba IDOR, klaidos rūšis, galinti leisti kam nors pasiekti ar modifikuoti duomenis apie kažkieno serverį, nes trūksta tinkamų saugumo patikrinimų vartotojui, kuris pasiekia duomenis.
Kaip jau paaiškinome anksčiau, „IDOR Bugs“ yra panašūs į tai, kad, pavyzdžiui, turi raktą į privačią pašto dėžutę, tačiau tas raktas taip pat gali atrakinti kiekvieną kitą pašto dėžutę toje pačioje gatvėje. Iš esmės „IDOR“ klaidas galima lengvai išnaudoti ir kai kuriais atvejais išvardijami, leidžiantys pasiekti įrašą po vartotojo duomenų įrašų.
JAV kibernetinio saugumo agentūra CISA ilgai perspėjo apie riziką, kad yra IDOR klaidų, įskaitant galimybę pasiekti paprastai neskelbtinus duomenis „mastu“. Vykdydama savo „Saugumo projektavimo iniciatyvą“, CISA 2023 m. Patarime teigė, kad kūrėjai turėtų užtikrinti, kad jų programos atliktų tinkamą autentifikavimo ir autorizacijos patikrinimus.
Kadangi „Raw“ ištaisė klaidą, paveiktas serveris nebegrąžina vartotojo duomenų naršyklėje.
