Une application de rencontres qui, cette semaine, a annoncé un nouveau portable effrayant, s’est avérée avoir exposé publiquement les données des utilisateurs. Les données étaient granulaires et personnelles, y compris leurs emplacements approximatifs.
L’application, Raw, dit qu’elle est dédiée à la promotion de «l’amour réel et non filtré» via son interface utilisateur unique, qui ressemble à Bereal (il utilise les caméras avant et arrière de votre téléphone), mais pour les rencontres. Raw a également récemment annoncé un nouveau matériel bizarre, appelé Raw Ring, qui prétend permettre aux utilisateurs de suivre l’emplacement de leurs amants pour s’assurer qu’ils ne trichent pas (il n’y a aucun moyen qui puisse conduire à des scénarios problématiques, non?). Malheureusement, il semblerait que RAW ait également fait la promotion de quelque chose d’autre d’une manière assez «non filtrée»: les données des utilisateurs.
TechCrunch rapporte qu’en raison d’un manque de protections de base de la sécurité numérique, RAW laissait accidentellement les informations personnelles des utilisateurs ouvertes à l’inspection publique. En effet, avant cette semaine, toute personne ayant un navigateur Web aurait pu accéder à des informations détaillées sur les utilisateurs de l’application, y compris sa date de naissance, ses noms d’affichage, ses préférences sexuelles et les données de localisation «au niveau de la rue» assez spécifiques.
TechCrunch dit avoir découvert les lacunes de sécurité lors d’un bref test de l’application de l’entreprise. RAW a été téléchargé sur un appareil Android virtualisé, puis les employés de TC ont utilisé un outil de surveillance de réseau pour observer les données transmises vers et depuis l’application. L’analyse a montré que les données personnelles ne étaient pas protégées avec une sorte de barrière d’authentification. TC dit qu’il a découvert le problème dans les premières «minutes» de l’utilisation de l’application. TC note également que, bien que RAW prétend protéger les utilisateurs avec un chiffrement de bout en bout, il n’a trouvé aucune preuve que E2EE était présente. Ils décomposent la faille de sécurité comme tel:
Lorsque nous avons chargé l’application pour la première fois, nous avons constaté qu’elle tirait les informations de profil de l’utilisateur directement des serveurs de l’entreprise, mais que le serveur ne protégeait pas les données renvoyées avec aucune authentification. En pratique, cela signifiait que quiconque pouvait accéder aux informations privées de tout autre utilisateur en utilisant un navigateur Web pour visiter l’adresse Web du serveur exposé –
api.raw.app/users/suivi d’un numéro unique à 11 chiffres correspondant à un autre utilisateur d’application. La modification des chiffres pour correspondre avec tout autre identifiant à 11 chiffres de tout autre utilisateur a renvoyé des informations privées à partir du profil de cet utilisateur, y compris ses données de localisation. Ce type de vulnérabilité est connu comme une référence d’objet direct insécurisée, ou IDOR, un type de bogue qui peut permettre à quelqu’un d’accéder ou de modifier des données sur le serveur de quelqu’un d’autre en raison d’un manque de vérifications de sécurité appropriées sur l’utilisateur accédant aux données.
Gizmodo a contacté RAW pour plus d’informations. Selon les déclarations faites à TechCrunch, les problèmes de sécurité ont été corrigés mercredi. “Tous les points de terminaison précédemment exposés ont été obtenus, et nous avons mis en œuvre des garanties supplémentaires pour empêcher des problèmes similaires à l’avenir”, a déclaré Marina Anderson, cofondatrice de l’application de rencontres brute, à The Outlet.
Il n’est pas rare que les entreprises sécurisent mal les données des utilisateurs. Aussi étrange que cela puisse paraître, la sécurité n’est pas une priorité particulièrement énorme dans l’industrie du logiciel. Cela peut prendre du temps, coûteux et ralentir d’autres parties de la production, donc de nombreuses entreprises ne s’en soucient tout simplement pas. Avec une application de rencontres, cependant – une entreprise qui se consacre à la gestion des données les plus intimes (littéralement) et les plus sensibles des utilisateurs – il est évidemment payant pour passer un peu plus de temps à verrouiller les trucs. Comme on dit: enveloppez-le avant de le taper.
