डेटिंग ऐप रॉ कच्चे उपयोगकर्ताओं के स्थान डेटा और व्यक्तिगत जानकारी

Avatar photo
Posted by by Madison Clark May 2, 2025 8 Min Read

डेटिंग ऐप पर एक सुरक्षा चूक ने सार्वजनिक रूप से अपने उपयोगकर्ताओं के व्यक्तिगत डेटा और निजी स्थानों के डेटा को उजागर किया, TechCrunch ने पाया है।

उजागर डेटा में उपयोगकर्ताओं के प्रदर्शन नाम, जन्म की तारीख, डेटिंग और कच्चे ऐप से जुड़ी यौन प्राथमिकताएं, साथ ही उपयोगकर्ताओं के स्थान भी शामिल थे। स्थान डेटा में से कुछ में निर्देशांक शामिल थे जो सड़क-स्तरीय सटीकता के साथ कच्चे ऐप उपयोगकर्ताओं का पता लगाने के लिए पर्याप्त विशिष्ट थे।

RAW, जो 2023 में लॉन्च किया गया था, एक डेटिंग ऐप है जो उपयोगकर्ताओं को दैनिक सेल्फी फ़ोटो अपलोड करने के लिए कहकर दूसरों के साथ अधिक वास्तविक बातचीत की पेशकश करने का दावा करता है। कंपनी यह नहीं बताती है कि उसके कितने उपयोगकर्ता हैं, लेकिन इसका ऐप Google Play Store पर लिस्टिंग में 500,000 से अधिक Android डाउनलोड करने के लिए नोट करता है।

सुरक्षा चूक की खबर उसी सप्ताह में आती है कि स्टार्टअप ने अपने डेटिंग ऐप, द रॉ रिंग, ए के हार्डवेयर एक्सटेंशन की घोषणा की अप्रकाशित पहनने योग्य उपकरण यह दावा करता है कि ऐप उपयोगकर्ताओं को अपने साथी की हृदय गति और अन्य सेंसर डेटा को ट्रैक करने की अनुमति मिलेगी, जो कि बेवफाई का पता लगाने के लिए एआई-जनित अंतर्दृष्टि प्राप्त करने के लिए है।

रोमांटिक भागीदारों को ट्रैक करने के नैतिक और नैतिक मुद्दों के बावजूद और भावनात्मक निगरानी के जोखिमअपनी वेबसाइट पर और अपनी गोपनीयता नीति में रॉ का दावा है कि इसकी ऐप, और इसके अप्रकाशित डिवाइस, दोनों एंड-टू-एंड एन्क्रिप्शन का उपयोग करते हैं, एक सुरक्षा सुविधा जो उपयोगकर्ता के अलावा किसी और को रोकती है-कंपनी सहित-डेटा तक पहुंचने से।

जब हमने इस सप्ताह ऐप की कोशिश की, जिसमें ऐप के नेटवर्क ट्रैफ़िक का विश्लेषण शामिल था, तो TechCrunch को कोई सबूत नहीं मिला कि ऐप एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है। इसके बजाय, हमने पाया कि ऐप सार्वजनिक रूप से अपने उपयोगकर्ताओं के बारे में किसी भी वेब ब्राउज़र के साथ डेटा फैला रहा था।

RAW ने बुधवार को डेटा एक्सपोज़र तय किया, जब TechCrunch ने बग के विवरण के साथ कंपनी से संपर्क किया।

रॉ डेटिंग ऐप के सह-संस्थापक, मरीना एंडरसन ने कहा,

TechCrunch द्वारा पूछे जाने पर, एंडरसन ने पुष्टि की कि कंपनी ने अपने ऐप के तीसरे पक्ष के सुरक्षा ऑडिट का प्रदर्शन नहीं किया है, यह कहते हुए कि इसका “ध्यान एक उच्च गुणवत्ता वाले उत्पाद के निर्माण पर और हमारे बढ़ते समुदाय के साथ सार्थक रूप से उलझाने पर है।”

एंडरसन प्रभावित उपयोगकर्ताओं को लगातार सूचित करने के लिए प्रतिबद्ध नहीं होंगे कि उनकी जानकारी उजागर हुई थी, लेकिन कहा कि कंपनी “लागू नियमों के तहत प्रासंगिक डेटा संरक्षण अधिकारियों को एक विस्तृत रिपोर्ट प्रस्तुत करेगी।”

यह तुरंत ज्ञात नहीं है कि ऐप कब तक सार्वजनिक रूप से अपने उपयोगकर्ताओं के डेटा को फैला रहा था। एंडरसन ने कहा कि कंपनी अभी भी घटना की जांच कर रही थी।

अपने दावे के बारे में कि ऐप एंड-टू-एंड एन्क्रिप्शन का उपयोग करता है, एंडरसन ने कहा कि रॉ “ट्रांजिट में एन्क्रिप्शन का उपयोग करता है और हमारे बुनियादी ढांचे के भीतर संवेदनशील डेटा के लिए एक्सेस कंट्रोल को लागू करता है। स्थिति का पूरी तरह से विश्लेषण करने के बाद आगे के कदम स्पष्ट हो जाएंगे।”

एंडरसन यह नहीं कहेंगे, जब पूछा गया कि क्या कंपनी अपनी गोपनीयता नीति को समायोजित करने की योजना बना रही है, और एंडरसन ने TechCrunch से एक अनुवर्ती ईमेल का जवाब नहीं दिया।

हमें कैसे उजागर डेटा मिला

TechCrunch ने बुधवार को ऐप के एक संक्षिप्त परीक्षण के दौरान बग की खोज की। हमारे परीक्षण के हिस्से के रूप में, हमने एक वर्चुअलाइज्ड एंड्रॉइड डिवाइस पर रॉ डेटिंग ऐप स्थापित किया, जो हमें किसी भी वास्तविक दुनिया के डेटा को प्रदान करने के लिए बिना ऐप का उपयोग करने की अनुमति देता है, जैसे कि हमारा भौतिक स्थान।

हमने डमी डेटा के साथ एक नया उपयोगकर्ता खाता बनाया, जैसे कि एक नाम और जन्म तिथि, और हमारे वर्चुअल डिवाइस के स्थान को कॉन्फ़िगर किया गया था जैसे कि हम माउंटेन व्यू, कैलिफोर्निया में एक संग्रहालय में थे। जब ऐप ने हमारे वर्चुअल डिवाइस के स्थान का अनुरोध किया, तो हमने ऐप को हमारे सटीक स्थान तक कुछ मीटर तक पहुंचने की अनुमति दी।

हमने कच्चे ऐप के अंदर और बाहर बहने वाले डेटा की निगरानी और निरीक्षण करने के लिए एक नेटवर्क ट्रैफ़िक विश्लेषण उपकरण का उपयोग किया, जिससे हमें यह समझने की अनुमति मिली कि ऐप कैसे काम करता है और ऐप किस प्रकार के डेटा को अपने उपयोगकर्ताओं के बारे में अपलोड कर रहा था।

TechCrunch ने कच्चे ऐप का उपयोग करने के कुछ मिनटों के भीतर डेटा एक्सपोज़र की खोज की। जब हमने पहली बार ऐप लोड किया, तो हमने पाया कि यह कंपनी के सर्वर से सीधे उपयोगकर्ता की प्रोफ़ाइल जानकारी को खींच रहा था, लेकिन यह सर्वर किसी भी प्रमाणीकरण के साथ लौटे डेटा की रक्षा नहीं कर रहा था।

व्यवहार में, इसका मतलब है कि कोई भी किसी अन्य उपयोगकर्ता की निजी जानकारी को वेब ब्राउज़र का उपयोग करके उजागर सर्वर के वेब पते पर जाने के लिए उपयोग कर सकता है – api.raw.app/users/ एक अन्य ऐप उपयोगकर्ता के अनुरूप एक अद्वितीय 11-अंकीय संख्या के बाद। किसी भी अन्य उपयोगकर्ता के 11-अंकीय पहचानकर्ता के अनुरूप होने के लिए अंकों को बदलना उस उपयोगकर्ता की प्रोफ़ाइल से निजी जानकारी वापस कर दिया, जिसमें उनके स्थान डेटा भी शामिल हैं।

TechCrunch द्वारा सेट किए गए एक एक्सपोज्ड उपयोगकर्ता की प्रोफ़ाइल दिखाने वाला एक स्क्रीनशॉट, जिसमें उपयोगकर्ता का सटीक स्थान शामिल है।
छवि क्रेडिट:टेकक्रंच
एक स्क्रीनशॉट एक मानचित्र पर TechCrunch उपयोगकर्ता के प्रोफ़ाइल का स्थान दिखाते हुए, माउंटेन व्यू, कैलिफोर्निया पर मंडरा रहा है।
छवि क्रेडिट:टेकक्रंच

इस तरह की भेद्यता को एक असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ, या इडोर के रूप में जाना जाता है, एक प्रकार का बग जो किसी को डेटा तक पहुंचने वाले उपयोगकर्ता पर उचित सुरक्षा जांच की कमी के कारण किसी और के सर्वर पर डेटा को एक्सेस या संशोधित करने की अनुमति दे सकता है।

जैसा कि हमने पहले समझाया है, उदाहरण के लिए, इडोर बग्स एक निजी मेलबॉक्स की कुंजी होने के समान हैं, लेकिन यह कुंजी उसी सड़क पर हर दूसरे मेलबॉक्स को भी अनलॉक कर सकती है। जैसे, आइडर बग्स को आसानी से और कुछ मामलों में एनुमरिट किया जा सकता है, जिससे उपयोगकर्ता डेटा के रिकॉर्ड के बाद रिकॉर्ड तक पहुंच की अनुमति मिलती है।

अमेरिकी साइबर सुरक्षा एजेंसी CISA ने लंबे समय से उन जोखिमों की चेतावनी दी है जो कि इडोर बग मौजूद हैं, जिनमें आम तौर पर संवेदनशील डेटा “स्केल” तक पहुंचने की क्षमता शामिल है। इसके हिस्से के रूप में डिजाइन द्वारा सुरक्षित पहल, CISA ने कहा 2023 सलाहकार में डेवलपर्स को यह सुनिश्चित करना चाहिए कि उनके ऐप्स उचित प्रमाणीकरण और प्राधिकरण चेक करें।

चूंकि रॉ ने बग को तय किया है, उजागर सर्वर अब ब्राउज़र में उपयोगकर्ता डेटा नहीं देता है।

Source link