Aplikasi Kencan Raw Bocorkan Data Pengguna, Termasuk Lokasi dan Preferensi Seksual

Aplikasi Raw membocorkan lokasi pengguna dan data pribadi karena cacat keamanan yang besar, menimbulkan kekhawatiran atas perangkat pelacakan hubungan baru yang ditenagai oleh AI.

Sebuah celah keamanan serius dalam aplikasi kencan Raw membuka akses data pribadi dan lokasi pengguna kepada siapa saja di internet, seperti yang pertama kali diungkap oleh TechCrunch. Data yang terbuka ini mencakup nama pengguna, tanggal lahir, preferensi seksual, dan koordinat GPS yang tepat yang memungkinkan pelacakan lokasi hingga tingkat jalan.

Raw yang diluncurkan pada tahun 2023 telah mencapai lebih dari 500.000 unduhan dan mendorong penggunanya untuk membangun hubungan yang otentik dengan mensyaratkan unggahan selfie setiap hari.

TechCrunch mencatat bahwa minggu ini, perusahaan juga mengumumkan perangkat yang dapat dipakai, yaitu Raw Ring, yang diklaim dapat memantau detak jantung pasangan dan memberikan wawasan yang dihasilkan oleh AI, yang berpotensi untuk mendeteksi perselingkuhan.

Meskipun mengklaim menggunakan enkripsi end-to-end, TechCrunch tidak menemukan perlindungan semacam itu. Analisis mereka menunjukkan bahwa data pengguna dapat diakses dengan bebas melalui browser menggunakan alamat web yang diketahui.

“Semua titik akhir yang sebelumnya terbuka kini telah diamankan, dan kami telah menerapkan langkah-langkah tambahan untuk mencegah masalah serupa di masa depan,” kata Marina Anderson, salah satu pendiri Raw, melalui email ke TechCrunch.

Ketika ditanya, Anderson mengakui bahwa aplikasi tersebut belum pernah menjalani audit keamanan pihak ketiga. Dia menambahkan bahwa perusahaan masih dalam proses investigasi dan akan “mengajukan laporan rinci kepada otoritas perlindungan data yang relevan sesuai dengan peraturan yang berlaku.”

Namun, TechCrunch mencatat bahwa dia tidak mengonfirmasi apakah pengguna akan diberi notifikasi secara individual, atau apakah kebijakan privasi akan diperbarui.

TechCrunch menjelaskan bahwa jenis kerentanan yang ditemukan ini dikenal sebagai insecure direct object reference (IDOR) – bug yang umum namun berbahaya. Ini terjadi ketika aplikasi menggunakan pengenal yang mudah ditebak, seperti angka atau nama file, untuk mengendalikan akses ke data.

Sebagai contoh, jika profil pengguna diakses melalui URL dengan angka di akhir (seperti /profile/123), seorang penyerang dapat mengubah angka tersebut untuk melihat profil orang lain (mis., /profile/124). Tanpa pemeriksaan keamanan yang tepat, mereka bisa mengeksploitasi ini dan mengakses atau memodifikasi data yang seharusnya tidak mereka akses.

Para peneliti keamanan di TechCrunch mendeteksi kelemahan tersebut melalui tes dengan data dan lokasi simulasi yang mengungkapkan kebocoran dalam waktu hanya beberapa menit. Kelemahan ini memungkinkan pengguna untuk mengakses profil dengan mengubah satu angka saja di alamat web aplikasi sebelum pengembang memperbaiki masalah tersebut.

Meskipun masalah tersebut telah diperbaiki, kekhawatiran tetap ada terkait praktik data Raw dan potensi perangkat baru mereka untuk melakukan pengawasan yang invasif.