São Paulo — InkDesign News — A recente divulgação da vulnerabilidade da exposição pública de dados dos usuários do aplicativo de relacionamentos Raw, que inclui informações pessoais detalhadas e localização aproximada, reabre o debate sobre segurança digital em plataformas que lidam com dados sensíveis, em especial no âmbito tech e geek.
Contexto e lançamento
O Raw apresenta-se como um aplicativo de relacionamento que busca promover “amor real e sem filtros” por meio de uma interface única inspirada no formato do BeReal, utilizando simultaneamente as câmeras frontal e traseira dos celulares dos usuários. O app ganhou notoriedade recentemente ao anunciar um acessório inédito, o Raw ring — um anel inteligente que possibilita o monitoramento de localização dos parceiros, uma ideia que suscita questões sobre privacidade no universo dos gadgets. Para integrar-se ao mercado competitivo dos apps de encontros, que valorizam autenticação e segurança, o Raw surgiu como proposta inovadora, mas demonstrou fragilidades técnicas que contrastam com suas promessas.
Design e especificações
O Raw combina hardware e software de forma híbrida, explorando a captação simultânea das câmeras do smartphone para fomentar interações autênticas. O recente lançamento do Raw ring, um wearable posicionado como dispositivo para rastreamento de parceiros, exemplifica essa integração. Todavia, em análise técnica realizada pela equipe da TechCrunch, foi constatada a ausência de barreiras de autenticação na API do aplicativo. A falha identificada é classificada como IDOR (insecure direct object reference), que permite acesso sem restrições a dados pessoais, incluindo data de nascimento, preferências sexuais, nomes exibidos e localização “em nível de rua”.
“Quando carregamos o app, descobrimos que ele puxava as informações do perfil do usuário diretamente dos servidores da empresa, mas sem exigir autenticação para proteger esses dados. Na prática, qualquer pessoa podia acessar informações privadas de qualquer outro usuário simplesmente visitando o endereço web do servidor exposto — api.raw.app/users/ seguido por um número exclusivo de 11 dígitos correspondente a outro usuário.”
(“When we first loaded the app, we found that it was pulling the user’s profile information directly from the company’s servers, but that the server was not protecting the returned data with any authentication. In practice, that meant anyone could access any other user’s private information by using a web browser to visit the web address of the exposed server — api.raw.app/users/ followed by a unique 11-digit number corresponding to another app user.”)— TechCrunch
Repercussão e aplicações
Este incidente evidencia, de forma contundente, uma problemática recorrente na indústria de software, na qual a segurança do usuário frequentemente não recebe a devida prioridade. Embora promovido como um app que protege seus usuários com criptografia ponta a ponta, nenhum indício dessa proteção foi encontrado no Raw durante a avaliação. Tal descuido é especialmente crítico para aplicativos de relacionamento, cujo público deposita confiança em serviços que lidam com dados íntimos e sensíveis. Segundo Marina Anderson, cofundadora do Raw, as falhas foram corrigidas rapidamente e medidas adicionais foram implementadas para evitar reincidência.
“Todos os endpoints previamente expostos foram protegidos, e implementamos salvaguardas adicionais para prevenir problemas similares no futuro.”
(“All previously exposed endpoints have been secured, and we’ve implemented additional safeguards to prevent similar issues in the future.”)— Marina Anderson, cofundadora do Raw
O caso levanta questões sobre os desafios das startups em equilibrar inovação e segurança, já que processos de proteção digital demandam tempo e recursos que nem sempre são priorizados. Aplicativos com foco em dados sensíveis, como os de relacionamento, precisam redobrar esforços para garantir a privacidade e a confiança de seus usuários, numa era em que a tecnologia wearable e os dados pessoais são cada vez mais integrados.
O episódio reforça a importância de uma abordagem criteriosa e transparente em segurança digital para produtos tech e geek, especialmente diante de avanços em hardware e software voltados à vida pessoal. Espera-se que o Raw e similares aprimorem seus padrões, acompanhando as tendências tecnológicas e culturais em segurança da informação.
Fonte: (Gizmodo – Cultura Tech & Geek)
