Một lỗ hổng bảo mật vừa được phát hiện trên ứng dụng hẹn hò Raw, khiến dữ liệu cá nhân và vị trí riêng tư của người dùng bị phơi bày công khai. Theo TechCrunch, thông tin bị lộ bao gồm tên hiển thị, ngày sinh, sở thích hẹn hò và tình dục, cùng với vị trí chính xác của người dùng.
Raw, ra mắt năm 2023, tự quảng cáo là ứng dụng hẹn hò mang đến những tương tác chân thật hơn bằng cách yêu cầu người dùng tải ảnh selfie hàng ngày. Ứng dụng này không tiết lộ số lượng người dùng, nhưng có hơn 500.000 lượt tải xuống trên Google Play Store.
Vụ việc xảy ra chỉ vài ngày sau khi startup này công bố Raw Ring, một thiết bị đeo chưa ra mắt, hứa hẹn theo dõi nhịp tim và dữ liệu cảm biến của đối tác để đưa ra những phân tích dựa trên AI, nhằm phát hiện sự không chung thủy. Dù vấp phải nhiều tranh cãi về đạo đức và rủi ro giám sát tình cảm, Raw vẫn khẳng định ứng dụng và thiết bị của mình sử dụng mã hóa đầu cuối để bảo vệ dữ liệu người dùng.
Tuy nhiên, khi TechCrunch thử nghiệm ứng dụng, họ không tìm thấy bằng chứng về việc sử dụng mã hóa đầu cuối. Thay vào đó, họ phát hiện ứng dụng công khai dữ liệu người dùng cho bất kỳ ai có trình duyệt web.
Raw đã khắc phục sự cố vào thứ Tư, sau khi TechCrunch liên hệ với công ty. Marina Anderson, đồng sáng lập Raw, cho biết tất cả các điểm cuối bị lộ trước đó đã được bảo mật và công ty đã thực hiện các biện pháp bảo vệ bổ sung để ngăn chặn các sự cố tương tự trong tương lai.
Anderson xác nhận công ty chưa thực hiện kiểm toán bảo mật từ bên thứ ba và từ chối cam kết thông báo chủ động cho những người dùng bị ảnh hưởng. Thay vào đó, công ty sẽ gửi báo cáo chi tiết cho các cơ quan bảo vệ dữ liệu liên quan.
Hiện chưa rõ dữ liệu người dùng đã bị lộ trong bao lâu. Anderson cho biết công ty vẫn đang điều tra vụ việc. Về tuyên bố sử dụng mã hóa đầu cuối, Anderson nói Raw “sử dụng mã hóa khi truyền tải và thực thi kiểm soát truy cập đối với dữ liệu nhạy cảm trong cơ sở hạ tầng của chúng tôi.”
TechCrunch phát hiện ra lỗ hổng này khi kiểm tra ứng dụng. Họ nhận thấy ứng dụng lấy thông tin người dùng trực tiếp từ máy chủ của công ty, nhưng máy chủ không bảo vệ dữ liệu trả về bằng bất kỳ xác thực nào. Điều này có nghĩa bất kỳ ai cũng có thể truy cập thông tin cá nhân của người dùng khác bằng cách truy cập địa chỉ web của máy chủ bị lộ.
Đây là một loại lỗ hổng bảo mật được gọi là “tham chiếu đối tượng trực tiếp không an toàn” (IDOR), cho phép ai đó truy cập hoặc sửa đổi dữ liệu trên máy chủ của người khác do thiếu kiểm tra bảo mật thích hợp. Cơ quan an ninh mạng CISA của Hoa Kỳ đã cảnh báo về những rủi ro mà lỗi IDOR gây ra, bao gồm khả năng truy cập dữ liệu nhạy cảm “ở quy mô lớn”.
Theo TechCrunch.
