Die Dating-App Raw legt Nutzerdaten offen, einschließlich Standort und sexuellen Vorlieben

Die Raw-App hat aufgrund einer großen Sicherheitslücke Nutzerstandorte und persönliche Daten durchsickern lassen, was Bedenken hinsichtlich ihres neuen, von KI angetriebenen Beziehungsverfolgungsgeräts weckt.

Ein ernsthafter Sicherheitsmangel in der Dating-App Raw legte die persönlichen Daten und den Standort der Benutzer für jedermann online offen, wie zuerst von TechCrunch enthüllt. Die freigelegten Daten offenbarten die Namen der Benutzer, Geburtsdaten, sexuelle Vorlieben und genaue GPS-Koordinaten, die eine Ortung bis auf Straßenebene ermöglichten.

Raw, das im Jahr 2023 gestartet wurde, erreichte mehr als 500.000 Downloads, indem es die Nutzer dazu ermutigte, echte Beziehungen durch tägliche Selfie-Uploads aufzubauen.

TechCrunch merkt diese Woche an, dass das Unternehmen auch ein tragbares Gerät, den Raw Ring, angekündigt hat. Dieser behauptet, den Herzschlag des Partners überwachen und KI-generierte Erkenntnisse liefern zu können, möglicherweise um einen Betrug aufzudecken.

Trotz Behauptungen, End-to-End-Verschlüsselung zu verwenden, fand TechCrunch keine derartigen Schutzmaßnahmen. Ihre Analyse ergab, dass auf Benutzerdaten frei über einen Browser zugegriffen werden konnte, indem eine bekannte Webadresse verwendet wurde.

„Alle zuvor offengelegten Endpunkte wurden gesichert und wir haben zusätzliche Sicherheitsvorkehrungen implementiert, um ähnliche Probleme in der Zukunft zu verhindern“, sagte die Mitbegründerin von Raw, Marina Anderson, in einer E-Mail an TechCrunch.

Als man sie fragte, gab Anderson zu, dass die App keinerlei Sicherheitsprüfungen durch Dritte durchlaufen hat. Sie fügte hinzu, dass das Unternehmen noch immer ermittelt und einen „detaillierten Bericht an die zuständigen Datenschutzbehörden gemäß den geltenden Vorschriften einreichen wird.“

TechCrunch bemerkt jedoch, dass sie nicht bestätigt hat, ob die Nutzer einzeln benachrichtigt werden oder ob die Datenschutzrichtlinie aktualisiert wird.

TechCrunch erklärt, dass die gefundene Schwachstelle als unsichere direkte Objektreferenz (IDOR) bekannt ist – ein häufiger, aber gefährlicher Fehler. Dies tritt auf, wenn die App leicht erratbare Kennungen, wie Zahlen oder Dateinamen, verwendet, um den Zugriff auf Daten zu kontrollieren.

Zum Beispiel, wenn das Profil eines Benutzers über eine URL mit einer Zahl am Ende aufgerufen wird (wie /profil/123), könnte ein Angreifer diese Zahl ändern, um das Profil eines anderen zu sehen (z.B. /profil/124). Ohne angemessene Sicherheitsprüfungen können sie dies ausnutzen und auf Daten zugreifen oder diese ändern, zu denen sie keinen Zugang haben sollten.

Die Sicherheitsforscher bei TechCrunch entdeckten den Fehler durch einen Test mit simulierten Daten und Standort, der das Leck innerhalb weniger Minuten aufdeckte. Der Fehler ermöglichte es Benutzern, auf Profile zuzugreifen, indem sie eine einzige Zahl in der Webadresse der Anwendung änderten, bevor die Entwickler das Problem behoben.

Trotz der Behebung bestehen weiterhin Bedenken hinsichtlich der Datenpraktiken von Raw und dem Potenzial des neuen Geräts für invasive Überwachung.