Kullanıcı verilerini teslim eden herhangi bir uygulama bir endişe kaynağıdır, ancak söz konusu verilerin hassasiyeti göz önüne alındığında sızdıran buluşma uygulamaları özellikle endişe vericidir. RAW adlı nispeten yeni bir uygulama, randevu kurallarını yeniden yazmayı amaçlayan nispeten yeni bir uygulama, kullanıcı verilerini maruz bırakarak, bunu isteyen herkese …
2023 yılında piyasaya sürülen Raw, sahte veya acımasızca dokunaklı fotoğraflar ve hayalet (bir kişinin birbirine sessizleştiği yer) de dahil olmak üzere çevrimiçi randevudaki bazı geleneksel sorunları çözmeyi amaçlayan bir buluşma uygulamasıdır. Şirketin uygulaması kullanıcı konumlarını paylaşıyor ve daha otantik bir eşleşme deneyimi oluşturmak için kendilerinin günlük fotoğraflarını yayınlamalarını istiyor.
Hizmet, coğrafi konumunuz ve IP adresinizle birlikte ad, doğum tarihi, cinsiyet kimliği ve fotoğraflar gibi bir tanışma uygulaması için ne beklediğiniz dahil olmak üzere müşteri verilerini toplar. Verilerinin en azından bir kısmını ABD’deki sunucularda saklar.
Gizlilik politikası, insanlara uçtan uca şifrelemeyi kullandığını veya tüketici SSS’sindeki genz-konuşmasına göre:
“Bilgileriniz şifrelemede gizleniyor ve geliştiricilerimiz tarafından bir kalede bir prenses gibi korunuyor. Bilgilerinizi hiçbir şekilde satmıyoruz veya paylaşmıyoruz – gizliliğiniz kırmadığımız bir söz.”
Bu metin sitedeki tüm kapaklarda, bu yüzden şirketin niyetleri ölümcül ciddi olmalı, ancak maalesef etkileyici bir şekilde durdurulan TechCrunch’a göre takip etmedi. Haber sitesi, uygulamanın bir kopyasını, yazılımda çalışan Android işletim sisteminin bir kopyası olan sanallaştırılmış bir Android cihazında yayınladı. Uygulamada yeni bir kullanıcı hesabı oluşturdu ve uygulamanın başka bir kopyası kullanıcının profil verilerini istediğinde neler olduğunu izledi. Yayın, sunucunun herhangi bir kimlik doğrulama gerektirmeden profil verilerini döndürdüğünü gördü.
Çoğu çevrimiçi hizmet gibi, bir Uygulama Programlama Arabirimi (API) aracılığıyla veri talepleri. Bu, sunucularından kullanıcı profili verileri istemek için yazılım (bu durumda akıllı telefon uygulaması) için tasarlanmış bir hizmettir. Uygulama bunu çevrimiçi bir adrese 11 basamaklı bir kullanıcı kimliği göndererek yapar.
TechCrunch, bir tarayıcıda API’ya erişerek herkesin bir profilden bilgi alabileceğini ve ihtiyaç duydukları tek şey 11 basamaklı kullanıcı kimliği olduğunu söyledi. Ayrıca birçok insanların verilerini de boşaltabilirler Çok fazla Yalnızca kullanıcı kimliği numaralarını değiştirerek.
Raw, yazma sırasında sitesindeki sorunu bahsetmemişti. CEO Marina Anderson, TechCrunch’a sorunun çözüldüğünü ve düzenleyicilere bildirildiğini söyledi. Haber sitesi ayrıca uygulama için üçüncü taraf bir denetim düzenlemediğini bildirdi.
Şirketin daha iyi maçların ötesinde hırsları var. Giyenlerin hayati işaretlerini okuyan sensörler ve onları dinleyen bir ses izleyicisi ile ham halka adı verilen giyilebilir bir cihaz yayınlamayı planlıyor. RAW, siyah ayna esque cihazını “gerçek hikayeyi anlatan değişiklikler için ses ve duygusal ipuçlarını analiz eden” bir anti-infidelite aracı olarak pazarlıyor. Cihaza olan ilginizi kaydetmek için kayıt düğmesi sizi “flörtsüz bölgeye katılmaya” çağırır.
Bu fikir, veri sızıntısı olmadan bile titreme verir, çünkü kontrol ilişkilerindeki kişilerin ortaklarını izlemek için kullanabileceği uzun, karanlık bir gözetim teknolojisi geçmişi vardır. Sadece bu değil, aynı zamanda insanların hassas verilerini ortaya çıkaran bu tür uygulamaların birçok vakası da vardır.
TechCrunch hikayesi bize duraklama sağlasa da, verilerini bulutta depolayan ham halka uçtan uca veri şifrelemesi vaat ediyor. Şirketin teknolojik sahte-pasından sonra kaç kişinin bunu isteyerek giyeceğini merak ediyoruz?
Anderson ve Raw’u bu ve diğer sorularla postaladık. Cevap veriyorlarsa bu hikayeyi güncelleyeceğiz.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.