แอปพลิเคชันหาคู่ Raw ประสบปัญหาเรื่องข้อมูลผู้ใช้งานรั่วไหล รวมถึงที่อยู่และความชอบทางเพศ

Image by Jonas Leupe, from Unsplash

แอปพลิเคชันหาคู่ Raw ประสบปัญหาเรื่องข้อมูลผู้ใช้งานรั่วไหล รวมถึงที่อยู่และความชอบทางเพศ

ระยะเวลาในการอ่าน: 1 นาที

อัพเดทล่าสุด: May 6, 2025

  • Kiara Fabbri

    ถูกเขียนขึ้นโดย Kiara Fabbri นักข่าวมัลติมีเดีย

  • ทีมแปลภาษา

    แปลโดย ทีมแปลภาษา ทีมแปลภาษาและบริการแปลภาษา

แอป Raw รั่วไหลตำแหน่งผู้ใช้และข้อมูลส่วนบุคคลเนื่องจากข้อบกพร่องด้านความปลอดภัยที่สำคัญ ทำให้เกิดความกังวลเกี่ยวกับอุปกรณ์ติดตามความสัมพันธ์ที่ขับเคลื่อนด้วย AI ใหม่

รีบ? นี่คือข้อมูลสำคัญที่ควรทราบ:

  • ข้อมูลที่รวบรวมมาประกอบด้วยชื่อ, วันเกิด, และความชอบทางเพศ—ไม่พบการเข้ารหัสลับใด ๆ
  • ข้อบกพร่องนั้นคือบัค IDOR; ใคร ๆ ก็สามารถเข้าถึงโปรไฟล์ผ่านเบราว์เซอร์ได้
  • Raw ยังไม่ได้ผ่านการตรวจสอบความปลอดภัยอิสระ แม้จะมีการเปิดเผย

ความผิดพลาดด้านความปลอดภัยที่ร้ายแรงในแอพมือถือ Raw ทำให้ข้อมูลส่วนบุคคลและข้อมูลตำแหน่งของผู้ใช้ถูกเปิดเผยให้ทุกคนในอินเทอร์เน็ต เหตุการณ์นี้ถูกเปิดเผยครั้งแรกโดย TechCrunch. ข้อมูลที่ถูกเปิดเผยประกอบด้วยชื่อผู้ใช้, วันเกิด, การชอบทางเพศ, และพิกัด GPS ที่แน่นอน ทำให้สามารถติดตามตำแหน่งได้ถึงระดับถนน.

Raw ที่เปิดตัวในปี 2023 ได้รับการดาวน์โหลดมากกว่า 500,000 ครั้ง ทำให้ผู้ใช้สร้างความสัมพันธ์ที่แท้จริงด้วยการอัปโหลดภาพเซลฟี่รายวัน

TechCrunch รายงานว่าในสัปดาห์นี้ บริษัทยังประกาศเรื่องอุปกรณ์สวมใส่ คือ Raw Ring ซึ่งอ้างว่าสามารถตรวจสอบอัตราการเต้นของหัวใจของคู่รักและให้ข้อมูลจาก AI ที่สร้างขึ้น อาจจะทำให้สามารถตรวจสอบการโกงได้

แม้จะมีการอ้างว่าใช้การเข้ารหัสแบบต้นทางถึงปลายทาง แต่ TechCrunch ไม่พบการป้องกันประเภทนี้ เจ้าหน้าที่วิเคราะห์และพบว่าข้อมูลของผู้ใช้สามารถเข้าถึงได้อย่างอิสระผ่านเบราว์เซอร์โดยใช้ที่อยู่เว็บที่รู้จัก

“ทุกจุดที่เปิดเผยก่อนหน้านี้ได้รับการป้องกันอย่างมั่นคงแล้ว และเราได้ดำเนินการเพิ่มเติมเพื่อป้องกันปัญหาที่คล้ายคลึงกันในอนาคต” ร่วมก่อตั้ง Raw คุณ Marina Anderson กล่าวผ่านอีเมลไปยัง TechCrunch.

เมื่อถาม แอนเดอร์สันยอมรับว่าแอปพลิเคชันยังไม่ผ่านการตรวจสอบความปลอดภัยจากบุคคลที่สามเลย และเธอเพิ่มเติมว่า บริษัทยังคงตรวจสอบอยู่ และจะ “ส่งรายงานที่มีรายละเอียดถึงหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องภายใต้ข้อบังคับที่เกี่ยวข้อง”

อย่างไรก็ตาม TechCrunch ระบุว่า เธอไม่ได้ยืนยันว่าผู้ใช้จะได้รับการแจ้งเตือนแบบส่วนบุคคลหรือไม่ หรือว่านโยบายความเป็นส่วนตัวจะได้รับการปรับปรุงหรือไม่

TechCrunch อธิบายว่าช่องโหว่ที่พบประเภทนี้เรียกว่า insecure direct object reference (IDOR) — บั๊กที่พบบ่อยแต่อันตราย สิ่งนี้เกิดขึ้นเมื่อแอปพลิเคชันใช้ตัวแทนที่ง่ายต่อการทาย เช่น ตัวเลขหรือชื่อไฟล์ เพื่อควบคุมการเข้าถึงข้อมูล

ตัวอย่างเช่น หากโปรไฟล์ของผู้ใช้เข้าถึงได้ผ่าน URL ที่มีตัวเลขอยู่ท้ายสุด (เช่น /profile/123) ผู้โจมตีสามารถเปลี่ยนตัวเลขนั้นเพื่อดูโปรไฟล์ของคนอื่น (เช่น /profile/124) โดยไม่มีการตรวจสอบความปลอดภัยอย่างเหมาะสม พวกเขาสามารถนำไปใช้ประโยชน์และเข้าถึงหรือแก้ไขข้อมูลที่พวกเขาไม่ควรมีสิทธิ์ในการเข้าถึงได้

นักวิจัยด้านความปลอดภัยที่ TechCrunch ตรวจพบความบกพร่องผ่านการทดสอบด้วยข้อมูลจำลองและตำแหน่งที่แสดงถึงการรั่วไหลภายในเวลาเพียงไม่กี่นาที ความบกพร่องนี้ทำให้ผู้ใช้สามารถเข้าถึงโปรไฟล์โดยการแก้ไขตัวเลขเดียวในที่อยู่เว็บของแอปพลิเคชันก่อนที่นักพัฒนาจะแก้ไขปัญหา

แม้ว่าปัญหาจะถูกแก้ไขแล้ว ความกังวลยังคงมีอยู่เกี่ยวกับการปฏิบัติการข้อมูลของ Raw และศักยภาพในการตรวจสอบละเมิดความเป็นส่วนตัวของอุปกรณ์ใหม่ของมัน

คุณชอบบทความนี้ไหม?
โหวตให้คะแนนเลยสิ!
ฉันเกลียดมัน ฉันไม่ค่อยชอบเท่าไหร่ พอใช้ได้ ค่อนข้างดี รักเลย!

เราดีใจที่คุณชื่นชอบผลงานของเรา!

ในฐานะผู้อ่านผู้ทรงคุณค่า คุณช่วยให้คะแนนเราบน Trustpilot หน่อยได้ไหม? การให้คะแนนนั้นรวดเร็วและสำคัญกับเรามาก ขอบคุณสำหรับความร่วมมือ!

ให้คะแนนเราบน Trustpilot
0 ได้รับการโหวตให้คะแนนโดย 0 ผู้ใช้
ชื่อเรื่อง
ความคิดเห็น
ขอบคุณสำหรับคำแนะนำของคุณ