Una falla de seguridad en la aplicación de citas Raw expuso públicamente la información personal y los datos de ubicación precisa de los usuarios, incluyendo nombres de usuario, fechas de nacimiento, preferencias de citas y coordenadas a nivel de calle, en la web abierta.
La brecha, que contradijo las afirmaciones de Raw sobre cifrado de extremo a extremo, resalta las preocupaciones persistentes sobre la privacidad y la protección de datos en la industria de citas en línea, que crece rápidamente.
Detalles de la brecha
La vulnerabilidad permitía que cualquier persona, con solo modificar la URL de un servidor expuesto (api.raw.app/users/[ID]), accediera a la información privada de cualquier usuario, incluidos sus datos personales y ubicación precisa.
El incidente fue descubierto tras un análisis del tráfico de red de la app, donde se comprobó que Raw no utilizaba cifrado de extremo a extremo como afirmaba en su política de privacidad y sitio web.
La brecha fue subsanada rápidamente después de que la empresa fuera contactada por los investigadores, quienes notificaron el problema. Sin embargo, Raw no se comprometió a informar proactivamente a los usuarios afectados, aunque sí indicó que reportaría el incidente a las autoridades de protección de datos correspondientes.
Contradicciones y preocupaciones
Raw había asegurado públicamente que tanto su app como su dispositivo wearable (Raw Ring) usaban cifrado de extremo a extremo, lo que impediría incluso a la empresa acceder a los datos. Sin embargo, la investigación no encontró evidencia de dicho cifrado; los datos se transmitían y almacenaban sin la protección prometida, facilitando el acceso no autorizado.
La empresa tampoco había realizado auditorías de seguridad externas antes del incidente, lo que evidencia una falta de controles adecuados en el manejo de información sensible.
Contexto en la industria
Este caso resalta preocupaciones persistentes sobre la privacidad y protección de datos en aplicaciones de citas, un sector que ha experimentado múltiples incidentes similares en los últimos años, con millones de registros expuestos en distintas plataformas.
La filtración de datos tan sensibles como preferencias sexuales y ubicaciones exactas puede tener consecuencias graves para la seguridad y privacidad de los usuarios, subrayando la necesidad de mejores prácticas de seguridad y transparencia en la industria.