L’application de rencontres Raw expose les données des utilisateurs, y compris la localisation et les préférences sexuelles

L’application Raw a divulgué les emplacements des utilisateurs et leurs données personnelles en raison d’une faille de sécurité majeure, suscitant des inquiétudes quant à son nouveau dispositif de suivi des relations alimenté par l’IA.

Une faille de sécurité sérieuse dans l’application de rencontres Raw a exposé les données personnelles et de localisation des utilisateurs à quiconque en ligne, comme cela a été révélé pour la première fois par TechCrunch. Les données exposées révélaient les noms des utilisateurs, leurs dates de naissance, leurs préférences sexuelles et leurs coordonnées GPS exactes, permettant un suivi de localisation jusqu’au niveau de la rue.

Raw, lancé en 2023, a atteint plus de 500 000 téléchargements tout en encourageant les utilisateurs à construire des relations authentiques en exigeant des téléchargements quotidiens de selfies.

TechCrunch note que cette semaine, l’entreprise a également annoncé un dispositif portable, la Raw Ring, affirmant qu’elle peut surveiller le rythme cardiaque d’un partenaire et offrir des insights générés par l’IA, potentiellement pour détecter l’infidélité.

Malgré les affirmations d’utilisation d’un cryptage de bout en bout, TechCrunch n’a trouvé aucune protection de ce genre. Leur analyse a montré que les données des utilisateurs pouvaient être librement accessibles à travers un navigateur en utilisant une adresse web connue.

“Tous les points d’extrémité précédemment exposés ont été sécurisés, et nous avons mis en place des mesures de protection supplémentaires pour prévenir des problèmes similaires à l’avenir,” a déclaré par email à TechCrunch la co-fondatrice de Raw, Marina Anderson.

Lorsqu’on lui a demandé, Anderson a admis que l’application n’a pas fait l’objet d’audits de sécurité par des tiers. Elle a ajouté que l’entreprise est toujours en train d’enquêter et qu’elle « soumettra un rapport détaillé aux autorités compétentes de protection des données en vertu des réglementations applicables. »

Cependant, TechCrunch note qu’elle n’a pas confirmé si les utilisateurs seraient informés individuellement, ou si la politique de confidentialité serait mise à jour.

TechCrunch explique que ce type de vulnérabilité découvert est connu sous le nom de référence d’objet direct non sécurisée (IDOR) – un bug courant mais dangereux. Cela se produit lorsque l’application utilise des identifiants facilement devinables, comme des nombres ou des noms de fichiers, pour contrôler l’accès aux données.

Par exemple, si le profil d’un utilisateur est accessible par une URL avec un numéro à la fin (comme /profile/123), un attaquant pourrait changer ce numéro pour voir le profil de quelqu’un d’autre (par exemple, /profile/124). Sans contrôles de sécurité appropriés, ils peuvent exploiter cela et accéder ou modifier des données auxquelles ils ne devraient pas avoir accès.

Les chercheurs en sécurité de TechCrunch ont détecté la faille grâce à un test avec des données et un emplacement simulés qui ont révélé la fuite en seulement quelques minutes. La faille permettait aux utilisateurs d’accéder aux profils en modifiant un seul numéro dans l’adresse web de l’application avant que les développeurs ne corrigent le problème.

Malgré la correction, des inquiétudes subsistent concernant les pratiques de Raw en matière de données et le potentiel de surveillance invasive de son nouveau dispositif.