## Flört Uygulaması Raw, Kullanıcıların Konum Verilerini ve Kişisel Bilgilerini Açığa Çıkardı
Popüler flört uygulaması Raw’da meydana gelen bir güvenlik açığı, kullanıcıların kişisel verilerinin ve konum bilgilerinin herkesin erişimine açık hale gelmesine neden oldu. TechCrunch’ın özel haberine göre, bu durum, uygulamanın kullanıcı gizliliğine ilişkin ciddi endişeler yarattı.
Açığa çıkan veriler arasında kullanıcıların adları, doğum tarihleri, cinsel tercihleri ve en önemlisi, konum bilgileri yer alıyor. Konum verilerinin sokak seviyesinde doğrulukta olması, kullanıcıların fiziksel olarak nerede olduklarının tespit edilmesini mümkün kılıyor. 2023’te piyasaya sürülen Raw, kullanıcılarından günlük selfie’ler yüklemelerini isteyerek daha “gerçek” etkileşimler sunmayı amaçlıyor. Uygulamanın Google Play Store’da 500.000’den fazla indirildiği belirtiliyor.
Bu güvenlik ihlali, şirketin partnerlerin duygularını gerçek zamanlı olarak takip etmeyi vaat eden “Raw Ring” adlı henüz piyasaya sürülmemiş bir giyilebilir cihazı duyurduğu haftaya denk geldi. Bu cihaz, yapay zeka destekli analizlerle partnerler arasındaki olası sadakatsizlikleri tespit etmeyi amaçlıyor. Bu tür bir duygu takibinin etik ve ahlaki açıdan tartışmalı olduğu bir gerçek.
Raw, web sitesinde ve gizlilik politikasında, hem uygulamasının hem de duyurulmamış cihazının uçtan uca şifreleme kullandığını iddia ediyor. Ancak TechCrunch’ın yaptığı analizlerde, uygulamanın ağ trafiğinde uçtan uca şifrelemeye dair herhangi bir kanıt bulunamadı. Bunun yerine, kullanıcı verilerinin internet tarayıcısı olan herkesin erişebileceği şekilde sunucularda saklandığı tespit edildi.
TechCrunch’ın şirketi bilgilendirmesinin ardından Raw, güvenlik açığını hızla giderdi. Şirket kurucu ortağı Marina Anderson, gelecekte benzer sorunların önüne geçmek için ek güvenlik önlemleri aldıklarını belirtti. Ancak, Anderson, üçüncü taraf bir güvenlik denetimi yaptırmadıklarını ve “önceliklerinin yüksek kaliteli bir ürün geliştirmek ve büyüyen topluluklarıyla anlamlı etkileşim kurmak olduğunu” ifade etti. Şirket, etkilenen kullanıcıları proaktif olarak bilgilendirme konusunda da net bir taahhütte bulunmadı, ancak ilgili veri koruma kurumlarına detaylı bir rapor sunacaklarını söyledi.
Uygulamanın kullanıcı verilerini ne kadar süreyle açıkta bıraktığı henüz bilinmiyor. Anderson, olayla ilgili soruşturmanın devam ettiğini belirtti. Uçtan uca şifreleme iddialarına ilişkin olarak ise, Raw’ın “aktarım sırasında şifreleme kullandığını ve altyapıları içindeki hassas veriler için erişim kontrolleri uyguladığını” savundu.
### TechCrunch Veri Açığını Nasıl Keşfetti?
TechCrunch, uygulamayı kısa bir süre test ederken güvenlik açığını fark etti. Android emülatörü üzerine kurulan uygulama, gerçek dünya verileri (konum gibi) sağlamadan kullanıldı. Sahte bir kullanıcı hesabı oluşturuldu ve sanal cihazın konumu Mountain View, California’daki bir müze olarak ayarlandı. Uygulama, cihazın konumuna erişim izni aldıktan sonra, ağ trafiği analiz araçları kullanılarak uygulamanın gönderdiği ve aldığı veriler incelendi.
Birkaç dakika içinde, uygulamanın kullanıcı profili bilgilerini doğrudan şirket sunucularından çektiği ve bu verilerin herhangi bir kimlik doğrulama olmadan erişilebilir olduğu tespit edildi. Bu durum, “api.raw.app/users/” adresine, ardından kullanıcının 11 haneli kimlik numarasını ekleyerek herhangi bir kullanıcının özel bilgilerine erişilebilmesine olanak tanıyordu.
Bu tür bir güvenlik açığı, “güvensiz doğrudan nesne referansı” (IDOR) olarak bilinir. IDOR açıkları, yetkisiz kişilerin verilere erişmesine veya verileri değiştirmesine izin verebilir. ABD Siber Güvenlik Ajansı CISA, uzun süredir IDOR açıklarının potansiyel risklerine dikkat çekiyor. Raw, güvenlik açığını giderdikten sonra, sunucu artık tarayıcıda kullanıcı verilerini döndürmüyor.
Bu olay, flört uygulamalarının kullanıcı gizliliğini koruma sorumluluğunu bir kez daha gözler önüne seriyor. Kullanıcılar, uygulamalara kişisel bilgilerini verirken dikkatli olmalı ve şirketlerin güvenlik politikalarını dikkatlice incelemelidir.
Bir yanıt yazın