Etiket: dating app

## Flört Uygulaması Raw, Kullanıcıların Konum Verilerini ve Kişisel Bilgilerini Açığa Çıkardı

Popüler flört uygulaması Raw’da meydana gelen bir güvenlik açığı, kullanıcıların kişisel verilerinin ve konum bilgilerinin herkesin erişimine açık hale gelmesine neden oldu. TechCrunch’ın özel haberine göre, bu durum, uygulamanın kullanıcı gizliliğine ilişkin ciddi endişeler yarattı.

Açığa çıkan veriler arasında kullanıcıların adları, doğum tarihleri, cinsel tercihleri ve en önemlisi, konum bilgileri yer alıyor. Konum verilerinin sokak seviyesinde doğrulukta olması, kullanıcıların fiziksel olarak nerede olduklarının tespit edilmesini mümkün kılıyor. 2023’te piyasaya sürülen Raw, kullanıcılarından günlük selfie’ler yüklemelerini isteyerek daha “gerçek” etkileşimler sunmayı amaçlıyor. Uygulamanın Google Play Store’da 500.000’den fazla indirildiği belirtiliyor.

Bu güvenlik ihlali, şirketin partnerlerin duygularını gerçek zamanlı olarak takip etmeyi vaat eden “Raw Ring” adlı henüz piyasaya sürülmemiş bir giyilebilir cihazı duyurduğu haftaya denk geldi. Bu cihaz, yapay zeka destekli analizlerle partnerler arasındaki olası sadakatsizlikleri tespit etmeyi amaçlıyor. Bu tür bir duygu takibinin etik ve ahlaki açıdan tartışmalı olduğu bir gerçek.

Raw, web sitesinde ve gizlilik politikasında, hem uygulamasının hem de duyurulmamış cihazının uçtan uca şifreleme kullandığını iddia ediyor. Ancak TechCrunch’ın yaptığı analizlerde, uygulamanın ağ trafiğinde uçtan uca şifrelemeye dair herhangi bir kanıt bulunamadı. Bunun yerine, kullanıcı verilerinin internet tarayıcısı olan herkesin erişebileceği şekilde sunucularda saklandığı tespit edildi.

TechCrunch’ın şirketi bilgilendirmesinin ardından Raw, güvenlik açığını hızla giderdi. Şirket kurucu ortağı Marina Anderson, gelecekte benzer sorunların önüne geçmek için ek güvenlik önlemleri aldıklarını belirtti. Ancak, Anderson, üçüncü taraf bir güvenlik denetimi yaptırmadıklarını ve “önceliklerinin yüksek kaliteli bir ürün geliştirmek ve büyüyen topluluklarıyla anlamlı etkileşim kurmak olduğunu” ifade etti. Şirket, etkilenen kullanıcıları proaktif olarak bilgilendirme konusunda da net bir taahhütte bulunmadı, ancak ilgili veri koruma kurumlarına detaylı bir rapor sunacaklarını söyledi.

Uygulamanın kullanıcı verilerini ne kadar süreyle açıkta bıraktığı henüz bilinmiyor. Anderson, olayla ilgili soruşturmanın devam ettiğini belirtti. Uçtan uca şifreleme iddialarına ilişkin olarak ise, Raw’ın “aktarım sırasında şifreleme kullandığını ve altyapıları içindeki hassas veriler için erişim kontrolleri uyguladığını” savundu.

### TechCrunch Veri Açığını Nasıl Keşfetti?

TechCrunch, uygulamayı kısa bir süre test ederken güvenlik açığını fark etti. Android emülatörü üzerine kurulan uygulama, gerçek dünya verileri (konum gibi) sağlamadan kullanıldı. Sahte bir kullanıcı hesabı oluşturuldu ve sanal cihazın konumu Mountain View, California’daki bir müze olarak ayarlandı. Uygulama, cihazın konumuna erişim izni aldıktan sonra, ağ trafiği analiz araçları kullanılarak uygulamanın gönderdiği ve aldığı veriler incelendi.

Birkaç dakika içinde, uygulamanın kullanıcı profili bilgilerini doğrudan şirket sunucularından çektiği ve bu verilerin herhangi bir kimlik doğrulama olmadan erişilebilir olduğu tespit edildi. Bu durum, “api.raw.app/users/” adresine, ardından kullanıcının 11 haneli kimlik numarasını ekleyerek herhangi bir kullanıcının özel bilgilerine erişilebilmesine olanak tanıyordu.

Bu tür bir güvenlik açığı, “güvensiz doğrudan nesne referansı” (IDOR) olarak bilinir. IDOR açıkları, yetkisiz kişilerin verilere erişmesine veya verileri değiştirmesine izin verebilir. ABD Siber Güvenlik Ajansı CISA, uzun süredir IDOR açıklarının potansiyel risklerine dikkat çekiyor. Raw, güvenlik açığını giderdikten sonra, sunucu artık tarayıcıda kullanıcı verilerini döndürmüyor.

Bu olay, flört uygulamalarının kullanıcı gizliliğini koruma sorumluluğunu bir kez daha gözler önüne seriyor. Kullanıcılar, uygulamalara kişisel bilgilerini verirken dikkatli olmalı ve şirketlerin güvenlik politikalarını dikkatlice incelemelidir.

## Raw Dating App’s “Genuine Interactions” Promise Undermined by Data Exposure

Dating app Raw, which launched in 2023 with a pledge of fostering more “genuine interactions,” has been found to be publicly exposing its users’ personal data and location information, according to a TechCrunch exclusive. This revelation casts a shadow over the app’s claims of prioritizing user privacy and security, particularly given its recent announcement of the Raw Ring, a controversial wearable device intended to track a partner’s emotional state.

The exposed data included sensitive information such as display names, dates of birth, dating and sexual preferences, and, most alarmingly, precise location data. In some instances, the location coordinates were accurate enough to pinpoint users down to the street level. This level of detail, readily accessible without authentication, presented a significant privacy risk to Raw’s user base.

Raw distinguishes itself in the crowded dating app landscape by requiring users to upload daily selfie photos, purportedly to ensure authenticity. While the company hasn’t disclosed its precise user numbers, its Google Play Store listing indicates over 500,000 Android downloads.

The timing of the security lapse is particularly unfortunate for Raw. It coincides with the announcement of the Raw Ring, a wearable device touted as a means of tracking a partner’s heart rate and other sensor data to detect potential infidelity. This concept has already drawn criticism for its potential to facilitate emotional surveillance and raise ethical concerns.

Adding insult to injury, Raw claims on its website and in its privacy policy to employ end-to-end encryption for both its app and the unreleased device. However, TechCrunch’s analysis of the app’s network traffic found no evidence of this security measure. Instead, the investigation revealed that user data was being openly transmitted and accessible to anyone with a web browser.

Following TechCrunch’s notification, Raw quickly addressed the data exposure on Wednesday. Co-founder Marina Anderson stated that “All previously exposed endpoints have been secured, and we’ve implemented additional safeguards to prevent similar issues in the future.”

However, when questioned about whether Raw had undergone a third-party security audit, Anderson admitted that the company had not, stating that its “focus remains on building a high-quality product and engaging meaningfully with our growing community.” She also declined to commit to proactively notifying affected users, instead indicating that a report would be submitted to relevant data protection authorities.

The duration of the data exposure remains unknown, with Anderson stating that the company is still investigating the incident. Regarding the claim of end-to-end encryption, Anderson clarified that Raw “uses encryption in transit and enforces access controls for sensitive data within our infrastructure,” stopping short of confirming end-to-end encryption. She also did not respond when asked if the company planned to adjust its privacy policy.

**How the Data Exposure Was Found**

TechCrunch discovered the vulnerability during a brief test of the Raw app. Using a virtualized Android device, they created a test account with dummy data and set a virtual location. By monitoring network traffic, they quickly identified that the app was retrieving user profile information directly from the company’s servers without proper authentication.

This meant that anyone could access another user’s private information by visiting a specific web address and modifying an 11-digit user identifier. This type of vulnerability is known as an insecure direct object reference (IDOR), which allows unauthorized access to data due to insufficient security checks.

IDOR vulnerabilities are particularly dangerous because they can be easily exploited to access large quantities of sensitive data. U.S. cybersecurity agency CISA has repeatedly warned about the risks associated with IDOR bugs and emphasizes the importance of proper authentication and authorization controls.

While Raw has since fixed the vulnerability, the incident highlights the critical importance of robust security practices, especially for apps handling sensitive personal information. The breach raises serious questions about Raw’s commitment to user privacy and security, particularly as it ventures into the realm of emotionally-charged wearable technology.