Una aplicación de citas reveló la información personal y la ubicación de sus usuarios.

Una brecha de seguridad en la aplicación de citas Raw ha comprometido la información personal y la ubicación de sus usuarios, según un análisis reciente. La información filtrada incluía nombres de usuario, fechas de nacimiento, preferencias en citas y temas sexuales asociadas a la aplicación, así como datos de localización. Algunas de estas ubicaciones eran lo suficientemente precisas como para identificar a los usuarios de Raw a nivel de calle.

Raw, que comenzó a operar en 2023, se presenta como una plataforma que busca fomentar interacciones más auténticas. Una de sus características distintivas es la solicitud a los usuarios de subir fotos diarias de sí mismos. Aunque la empresa no revela su número de usuarios, su aplicación ha superado las 500,000 descargas en Android, según su listado en Google Play Store.

El anuncio sobre la falla de seguridad coincide con la presentación de un nuevo dispositivo, el Raw Ring, que aún no ha sido lanzado. Este dispositivo portátil, según la compañía, permitirá a los usuarios rastrear la frecuencia cardíaca de su pareja y otros datos sensoriales para obtener análisis generados por inteligencia artificial, en un intento de detectar posibles infidelidades. Sin embargo, esta funcionalidad ha generado debates sobre los problemas morales y éticos que conlleva la vigilancia emocional en una relación.

A pesar de estas preocupaciones, Raw asegura que su aplicación y el dispositivo en desarrollo emplean encriptación de extremo a extremo, lo que debería restringir el acceso a los datos exclusivamente a los usuarios. Sin embargo, un análisis del tráfico de la aplicación reveló que no existía evidencia de que se estuviera utilizando esta medida de seguridad, y que la aplicación estaba expidiendo datos sensibles de sus usuarios públicamente.

Tras ser alertada sobre la brecha, Raw tomó medidas para corregir el problema el miércoles, garantizando que todos los puntos expuestos han sido asegurados y que se implementarán salvaguardias adicionales para evitar futuros incidentes. En un correo electrónico, Marina Anderson, cofundadora de la aplicación, confirmó que no se había realizado una auditoría de seguridad externa y que la prioridad del equipo es la creación de un producto de calidad y una interacción significativa con su comunidad en crecimiento. Aunque no se comprometió a informar proactivamente a los usuarios afectados, afirmó que se enviaría un informe detallado a las autoridades correspondientes.

No ha quedado claro cuánto tiempo estuvo expuesta la información de los usuarios. Anderson mencionó que la compañía aún está investigando el incidente y aclaró que Raw utiliza cifrado durante la transmisión de datos y controla el acceso a información sensible en su infraestructura. Sin embargo, no se pronunció sobre la posible modificación de la política de privacidad de la aplicación.

La vulnerabilidad fue descubierta durante una prueba rápida de la aplicación, donde se simuló un dispositivo Android con datos ficticios. Al acceder a la aplicación, se detectó que la información del perfil del usuario se estaba recuperando sin ningún tipo de autenticación, permitiendo que cualquier persona pudiera acceder a la información privada de otros usuarios simplemente modificando una dirección web. Este tipo de falla es conocido como referencia de objeto directo inseguro (IDOR), un problema de seguridad que permite el acceso no autorizado a datos en servidores debido a la falta de controles adecuados.

La Agencia de Seguridad Cibernética de EE. UU. (CISA) ha advertido sobre los riesgos que representan estos errores, que pueden comprometer datos sensibles a gran escala. A raíz de la corrección de la brecha por parte de Raw, el servidor expuesto ya no devuelve datos de usuario al ser consultado desde un navegador.