데이팅 앱 Raw, 사용자 데이터를 노출시키다 – 위치 정보 및 성적 취향까지 포함

주요 보안 결함으로 인해 Raw 앱은 사용자의 위치 및 개인 정보를 유출시켰으며, 이로 인해 새로운 AI 기반 연애 추적 장치에 대한 우려가 커지고 있습니다.

데이팅 앱 Raw에서 심각한 보안 결함이 발견되어 사용자들의 개인 정보와 위치 정보가 온라인 상의 누구에게나 노출되었습니다. 이 사실은 처음으로 TechCrunch가 공개하였습니다. 이렇게 노출된 데이터는 사용자의 이름, 생년월일, 성적 취향, 그리고 정확한 GPS 좌표까지 포함하여 거리 수준까지 위치 추적이 가능하게 했습니다.

2023년에 출시된 Raw는 사용자들에게 일일 셀피 업로드를 요구함으로써 진정한 관계 형성을 장려하면서 500,000회 이상 다운로드를 기록했습니다.

TechCrunch는 이번 주에 이 회사가 웨어러블 디바이스인 Raw Ring을 발표했다고 보도했습니다. 이 디바이스는 파트너의 심박수를 모니터링하고 AI가 생성한 통찰력을 제공할 수 있다고 주장하며, 이는 아마도 바람피는 것을 적발할 수 있다는 가능성을 내비칩니다.

엔드 투 엔드 암호화를 사용한다는 주장에도 불구하고, TechCrunch는 그런 보호조치를 찾지 못했습니다. 그들의 분석에 따르면, 사용자 데이터는 알려진 웹 주소를 통해 브라우저를 통해 자유롭게 접근할 수 있었다고 합니다.

“이미 노출된 모든 엔드포인트는 보안되었으며, 앞으로 비슷한 문제를 방지하기 위해 추가적인 안전장치를 도입했습니다.”라고 Raw의 공동 창업자 마리나 앤더슨이 TechCrunch에 이메일을 보냈습니다.

질문을 받았을 때, 앤더슨은 이 앱이 제3자 보안 감사를 받지 않았다고 인정했습니다. 그녀는 회사가 아직 조사 중이며 “적용 규정에 따라 관련 데이터 보호 당국에 자세한 보고서를 제출할 것”이라고 덧붙였습니다.

그러나 TechCrunch는 그녀가 사용자가 개별적으로 알림을 받게 될지, 또는 개인정보 보호 정책이 업데이트 될 지를 확인하지 않았다고 지적했습니다.

TechCrunch는 이러한 종류의 취약점이 불안전한 직접 객체 참조(Insecure Direct Object Reference, IDOR)라고 알려진 것이라고 설명합니다. 이는 일반적이지만 위험한 버그입니다. 이런 경우 애플리케이션은 숫자나 파일 이름과 같이 쉽게 추측할 수 있는 식별자를 사용하여 데이터에 대한 접근을 제어합니다.

예를 들어, 사용자의 프로필이 끝에 숫자가 있는 URL(/profile/123과 같은)로 접근된다면, 공격자는 그 숫자를 변경하여 다른 사람의 프로필(/profile/124 등)을 볼 수 있습니다. 적절한 보안 검사 없이, 그들은 이를 이용하여 접근하거나 수정해서는 안 될 데이터에 접근할 수 있습니다.

TechCrunch의 보안 연구원들은 시뮬레이션된 데이터와 위치를 통한 테스트를 통해 몇 분 만에 유출을 확인한 후 결함을 발견했습니다. 이 결함은 개발자들이 문제를 해결하기 전에 애플리케이션의 웹 주소에서 단 하나의 숫자만 바꿔서 사용자들이 프로필에 접근할 수 있게 했습니다.

수정에도 불구하고, Raw의 데이터 관행과 그 새로운 장치의 공격적인 감시 가능성에 대한 우려는 계속되고 있습니다.