Populiari programa pasirodė esanti „šnipinėjimo“ programa: kieno duomenys yra pavojuje?

Pažinčių programoje „Raw“ buvo aptikta saugumo sistemos pažeidžiamumas, dėl kurios asmeninė informacija ir vartotojų buvimo vietos duomenys tapo viešai prieinami.

Duomenų nutekėjimą programoje „Raw“ aptiko portalas „TechCrunch“. Paaiškėjo, kad programa ‚nutekino‘ „Raw“ naudotojų vardus, gimimo datas, pažinčių ir seksualinius pomėgius. Kai kurie duomenys turėjo koordinates, leidžiančias nustatyti asmens buvimo vietą iki gatvės.

Leidinyje pažymėta, kad „Raw“ pozicionuojama kaip pažinčių programa, siūlanti „nuoširdesnį“ bendravimą su kitais žmonėmis, iš dalies dėl to, kad prašo vartotojų kasdien įkelti savo asmenukes. Šiuo metu „Google Play Store“ nurodyta daugiau nei 500 000 atsisiuntimų ‚Android‘ sistemai.

Kaip „Raw“ atskleidžia asmens duomenis?

Ekspertai aptiko klaidą per trumpą programos testavimą. Jie įdiegė „Raw“ į virtualų „Android“ įrenginį, sukūrė vartotojo paskyrą su fiktyviais duomenimis, tokiais kaip vardas ir gimimo data, ir nustatė virtualaus įrenginio buvimo vietą taip, tarsi jis būtų muziejuje Mountain View (JAV, Kalifornija). Taip pat buvo suteikta prieiga prie įrenginio metapozicijos.

„TechCrunch“ aptiko duomenų atskleidimą per kelias minutes po „Raw“ naudojimo. Paaiškėjo, kad programa gauna informaciją apie vartotojo profilį tiesiogiai iš įmonės serverių, tačiau serveris negrąžinamų duomenų neapsaugojo jokiu autentifikavimu.

Tai reiškia, kad bet kas galėjo gauti prieigą prie kito vartotojo asmeninės informacijos, naudodamas žiniatinklio naršyklę ir apsilankydamas atviro serverio interneto adresu api.raw.app/users/, po kurio buvo unikalus 11 skaitmenų numeris.

Šis pažeidžiamumas žinomas kaip nesaugi tiesioginė nuoroda į objektą (IDOR) – tai klaidos tipas, kuris gali leisti kam nors gauti prieigą prie svetimame serveryje esančių duomenų arba juos pakeisti dėl to, kad nėra tinkamų saugumo patikrinimų, atliekamų vartotojui, kuris gauna prieigą prie duomenų.