Sebuah aplikasi kencan yang baru saja mengumumkan perangkat wearable baru yang menjijikkan, baru-baru ini ditemukan telah secara terbuka mengekspos data pengguna. Data tersebut sangat rinci dan personal, termasuk lokasi kira-kira mereka. Aplikasi tersebut, Raw, mengklaim bahwa mereka berdedikasi untuk mempromosikan “cinta yang nyata dan tidak disaring” melalui antarmuka pengguna uniknya, yang mirip dengan BeReal (menggunakan kamera depan dan belakang ponsel Anda), tetapi untuk kencan. Raw juga baru-baru ini mengumumkan perangkat keras baru yang aneh, yang disebut Raw ring, yang mengklaim dapat memungkinkan pengguna melacak lokasi kekasih mereka untuk memastikan mereka tidak berselingkuh (tidak mungkin hal itu akan menyebabkan masalah, kan?). Namun, ternyata Raw juga telah mempromosikan sesuatu yang lain dengan cara yang cukup “tidak disaring”: data pengguna. TechCrunch melaporkan bahwa karena kurangnya perlindungan keamanan digital yang mendasar, Raw secara tidak sengaja meninggalkan informasi pribadi pengguna terbuka untuk inspeksi publik. Sebenarnya, sebelum minggu ini, siapa pun dengan browser web akan dapat mengakses informasi pengguna aplikasi yang detail, termasuk tanggal lahir mereka, nama tampilan, preferensi seksual, dan data lokasi yang cukup spesifik. TechCrunch mengatakan bahwa mereka menemukan kelemahan keamanan selama uji singkat aplikasi perusahaan tersebut. Raw diunduh ke perangkat Android yang divirtualisasi, dan kemudian staf TC menggunakan alat pemantauan jaringan untuk mengamati data yang dikirimkan ke dan dari aplikasi. Analisis menunjukkan bahwa data pribadi tidak dilindungi dengan penghalang otentikasi apa pun. TC mengatakan bahwa mereka menemukan masalah dalam beberapa “menit pertama” menggunakan aplikasi itu. TC juga mencatat bahwa, meskipun Raw mengklaim melindungi pengguna dengan enkripsi end-to-end, mereka tidak menemukan bukti bahwa E2EE ada. Mereka memecah celah keamanan seperti ini: Ketika kami pertama kali memuat aplikasi, kami menemukan bahwa itu menarik informasi profil pengguna langsung dari server perusahaan, tetapi server tidak melindungi data yang dikembalikan dengan autentikasi apa pun. Dalam prakteknya, itu berarti siapa pun bisa mengakses informasi pribadi pengguna lain dengan menggunakan browser web untuk mengunjungi alamat web server yang terbuka itu — api.raw.app/users/ diikuti oleh angka unik 11 digit yang sesuai dengan pengguna aplikasi lain. Mengubah digit untuk sesuai dengan pengenal 11 digit pengguna lain mengembalikan informasi pribadi dari profil pengguna tersebut, termasuk data lokasi mereka. Jenis kerentanan seperti ini dikenal sebagai referensi objek langsung yang tidak aman, atau IDOR, jenis bug yang dapat memungkinkan seseorang mengakses atau memodifikasi data di server orang lain karena kurangnya pemeriksaan keamanan yang tepat pada pengguna yang mengakses data tersebut. Gizmodo menghubungi Raw untuk informasi lebih lanjut. Menurut pernyataan yang diberikan kepada TechCrunch, masalah keamanan telah diperbaiki sejak Rabu. “Semua titik akhir yang sebelumnya terbuka telah diamankan, dan kami telah menerapkan langkah-langkah pengaman tambahan untuk mencegah masalah serupa di masa depan,” kata Marina Anderson, salah satu pendiri aplikasi kencan Raw, kepada media tersebut. Tidak jarang bagi perusahaan untuk tidak mengamankan data pengguna dengan baik. Aneh seperti yang terdengar, keamanan bukanlah prioritas yang sangat besar dalam industri perangkat lunak. Hal itu bisa memakan waktu, mahal, dan dapat melambatkan bagian-bagian lain dari produksi, jadi banyak perusahaan hanya tidak repot-repot dengan itu. Namun, dengan aplikasi kencan — sebuah bisnis yang berdedikasi untuk menangani data yang paling intim (secara harfiah) dan sensitif dari pengguna — jelas sangat penting untuk menghabiskan sedikit lebih banyak waktu mengamankan segalanya. Seperti yang dikatakan: bungkus sebelum Anda mengetuknya.