Una app de citas que esta semana había anunciado un nuevo dispositivo para llevar puesto como anillo, exponía públicamente los datos de los usuarios incluyendo datos granulares y personales, y la ubicación aproximada.
La app, Raw, dice que se dedica a promover “el amor real y sin filtros” con su singular interfaz, que se parece a BeReal (usa las cámaras delantera y trasera de tu teléfono) pero para citas. Raw también anunció recientemente un nuevo dispositivo, el anillo Raw, que se supone permite que los usuarios rastreen la ubicación de sus amantes para asegurarse de que no los estén engañando (no podría crear situaciones problemáticas ¿verdad?. Lamentablemente, parece que Raw promovía algo más, y también “sin filtros”: los datos de los usuarios.
La filtración de información que comprometió a los usuarios
TechCrunch informa que por falta de protecciones básicas de seguridad digital, Raw accidentalmente dejaba la información personal de los usuarios abierta a la inspección pública. De hecho, antes de esta semana cualquiera que usara un navegador web podría haber tenido acceso detallado a los detalles de la información de los usuarios de la app, como la fecha de nacimiento, nombre, preferencias sexuales y datos de ubicación bastante específicos “en el nivel de la calle en que estaban”.
TechCrunch dice que descubrió las deficiencias de seguridad durante una breve prueba de la app de la compañía. Descargaron Raw en un dispositivo Android virtualizado y luego la gente de TC utilizó una herramienta de monitoreo de red para observar la transmisión de datos desde y hacia la app. El análisis mostró que los datos personales no estaban protegidos con ningún tipo de barrera de autenticación. TC dice que descubrió el problema a los pocos minutos de usar la app. Además, TC señala que aunque Raw afirma proteger a los usuarios con encriptado de extremo a extremo, no encontraron evidencia de que hubiera E2EE. El problema de seguridad, detallado, es este:
Cuando descargamos la app encontramos que tomaba la información de perfil del usuario directamente d ellos servidores de la compañía, pero que el servidor no protegía los datos que regresaban con ningún tipo de autenticación. En la práctica eso significaba que cualquiera podía acceder a la información privada de otros usuarios utilizando un navegador web y visitando la dirección web del servidor expuesto — api.raw.app/users/ seguido de un número de 11 dígitos que correspondiera a otro usuario de la app. Al cambiar los dígitos al identificador de 11 dígitos de cualquier otro usuario, aparecía la información privada del perfil de ese usuario, incluyendo los datos de su ubicación. Este tipo de vulnerabilidad se conoce como identificador directo a objetos no protegidos, IDOR, que podría permitir que cualquiera acceda o modifique los datos en un servidor porque no hay controles de acceso y faltan verificaciones de seguridad adecuadas del usuario que accede a los datos.
Lo que dijo Raw
Gizmodo se puso en contacto con Raw para obtener más información. Según declaraciones a TechCrunch, los problemas de seguridad se han resuelto el miércoles. “Todos los extremos que antes estaban expuestos se aseguraron e implementamos salvaguardas adicionales para impedir que haya problemas similares en el futuro”, le dijo al medio Marina Anderson, cofundadora de la app de citas Raw.
No es infrecuente que las compañías protejan de manera deficiente los datos de los usuarios. Aunque suene extraño, la seguridad no es una prioridad particularmente importante en la industria del software. Puede consumir tiempo, resultar costoso, y hacer más lentos otros pasos de la producción por lo que muchas compañías ni siquiera se toman la molestia. Sin embargo, una app de citas es algo que se dedica a recabar y administrar los datos más sensibles e íntimos de los usuarios y es obvio que conviene dedicar algo más de tiempo a crear barreras para proteger esos datos.
