[ad_1]
টেকক্রাঞ্চ খুঁজে পেয়েছে, ডেটিং অ্যাপের একটি সুরক্ষা ল্যাপস রানের ব্যক্তিগত ডেটা এবং ব্যক্তিগত অবস্থানের ডেটা প্রকাশ্যে প্রকাশ করেছে।
উদ্ভাসিত ডেটাতে ব্যবহারকারীদের প্রদর্শনের নাম, জন্মের তারিখ, ডেটিং এবং কাঁচা অ্যাপের সাথে সম্পর্কিত যৌন পছন্দগুলি পাশাপাশি ব্যবহারকারীদের অবস্থান অন্তর্ভুক্ত ছিল। কিছু অবস্থানের ডেটাগুলির মধ্যে স্থানাঙ্কগুলি অন্তর্ভুক্ত ছিল যা রাস্তার স্তরের নির্ভুলতার সাথে কাঁচা অ্যাপ ব্যবহারকারীদের সনাক্ত করতে যথেষ্ট নির্দিষ্ট ছিল।
RAW, যা 2023 সালে চালু হয়েছিল, এটি একটি ডেটিং অ্যাপ্লিকেশন যা ব্যবহারকারীদের প্রতিদিনের সেলফি ফটোগুলি আপলোড করতে বলার মাধ্যমে অন্যদের সাথে আরও সত্যিকারের মিথস্ক্রিয়া দেওয়ার দাবি করে। সংস্থাটি এতে কতজন ব্যবহারকারীর রয়েছে তা প্রকাশ করে না, তবে গুগল প্লে স্টোরে এর অ্যাপ্লিকেশন তালিকাটি আজ অবধি 500,000 এরও বেশি অ্যান্ড্রয়েড ডাউনলোডেরও বেশি নোট করে।
সুরক্ষা ল্যাপসের খবর একই সপ্তাহে আসে যে স্টার্টআপটি তার ডেটিং অ্যাপ, দ্য কাঁচা রিং, একটি হার্ডওয়্যার এক্সটেনশন ঘোষণা করেছিল অপ্রকাশিত পরিধানযোগ্য ডিভাইস এটি দাবি করেছে যে অ্যাপ্লিকেশন ব্যবহারকারীদের তাদের অংশীদারদের হার্ট রেট এবং অন্যান্য সেন্সর ডেটাগুলি এআই-উত্পাদিত অন্তর্দৃষ্টিগুলি পেতে, অবশ্যই কাফেরটি সনাক্ত করার জন্য ট্র্যাক করার অনুমতি দেবে।
রোমান্টিক অংশীদারদের এবং ট্র্যাকিংয়ের নৈতিক ও নৈতিক বিষয়গুলি সত্ত্বেও সংবেদনশীল নজরদারি ঝুঁকিকাঁচা তার ওয়েবসাইটে এবং এর গোপনীয়তা নীতিতে দাবি করে যে এর অ্যাপ্লিকেশন এবং এর অপ্রকাশিত ডিভাইস, উভয়ই শেষ থেকে শেষ এনক্রিপশন ব্যবহার করে, একটি সুরক্ষা বৈশিষ্ট্য যা ব্যবহারকারী ব্যতীত অন্য কাউকে-সংস্থা সহ-ডেটা অ্যাক্সেস করা থেকে বিরত রাখে।
যখন আমরা এই সপ্তাহে অ্যাপটি চেষ্টা করেছি, যার মধ্যে অ্যাপটির নেটওয়ার্ক ট্র্যাফিকের বিশ্লেষণ অন্তর্ভুক্ত ছিল, টেকক্রাঞ্চ কোনও প্রমাণ খুঁজে পায়নি যে অ্যাপটি শেষ থেকে শেষ এনক্রিপশন ব্যবহার করে। পরিবর্তে, আমরা দেখতে পেয়েছি যে অ্যাপটি ওয়েব ব্রাউজারের সাথে যে কারও কাছে তার ব্যবহারকারীদের সম্পর্কে প্রকাশ্যে ডেটা ছড়িয়ে দিচ্ছে।
RAW বুধবার ডেটা এক্সপোজারটি স্থির করে, টেকক্রাঞ্চ বাগের বিশদ সহ কোম্পানির সাথে যোগাযোগ করার পরপরই।
“সমস্ত পূর্বে উন্মুক্ত শেষ পয়েন্টগুলি সুরক্ষিত করা হয়েছে, এবং আমরা ভবিষ্যতে অনুরূপ সমস্যাগুলি রোধ করতে অতিরিক্ত সুরক্ষা ব্যবস্থা প্রয়োগ করেছি,” কাঁচা ডেটিং অ্যাপের সহ-প্রতিষ্ঠাতা মেরিনা অ্যান্ডারসন টেকক্রাঞ্চকে ইমেলের মাধ্যমে বলেছেন।
টেকক্রাঞ্চের দ্বারা জিজ্ঞাসা করা হলে, অ্যান্ডারসন নিশ্চিত করেছেন যে সংস্থাটি তার অ্যাপ্লিকেশনটির তৃতীয় পক্ষের সুরক্ষা নিরীক্ষণ সম্পাদন করেনি, যোগ করে যোগ করেছেন যে এর “ফোকাসটি একটি উচ্চমানের পণ্য তৈরি করা এবং আমাদের ক্রমবর্ধমান সম্প্রদায়ের সাথে অর্থপূর্ণভাবে জড়িত থাকার বিষয়ে রয়ে গেছে।”
অ্যান্ডারসন ক্ষতিগ্রস্থ ব্যবহারকারীদের তাদের তথ্য উন্মুক্ত করা হয়েছে তা সক্রিয়ভাবে অবহিত করার প্রতিশ্রুতিবদ্ধ করবেন না, তবে বলেছিলেন যে সংস্থাটি “প্রযোজ্য বিধিবিধানের অধীনে সম্পর্কিত তথ্য সুরক্ষা কর্তৃপক্ষের কাছে একটি বিশদ প্রতিবেদন জমা দেবে।”
অ্যাপটি প্রকাশ্যে তার ব্যবহারকারীদের ডেটা কতক্ষণ ছড়িয়ে দিচ্ছে তা অবিলম্বে জানা যায়নি। অ্যান্ডারসন বলেছিলেন যে সংস্থাটি এখনও এই ঘটনাটি তদন্ত করছে।
অ্যাপ্লিকেশনটি শেষ থেকে শেষ এনক্রিপশন ব্যবহার করে তার দাবি সম্পর্কে অ্যান্ডারসন বলেছিলেন যে “ট্রানজিটে এনক্রিপশন ব্যবহার করে এবং আমাদের অবকাঠামোগত সংবেদনশীল ডেটার জন্য অ্যাক্সেস নিয়ন্ত্রণগুলি প্রয়োগ করে। পরিস্থিতি পুরোপুরি বিশ্লেষণের পরে আরও পদক্ষেপগুলি পরিষ্কার হয়ে যাবে।”
অ্যান্ডারসন যখন জিজ্ঞাসা করবেন, সংস্থাটি তার গোপনীয়তা নীতিটি সামঞ্জস্য করার পরিকল্পনা করেছে কিনা তা বলবে না এবং অ্যান্ডারসন টেকক্রাঞ্চের ফলো-আপ ইমেলের প্রতিক্রিয়া জানায়নি।
আমরা কীভাবে উন্মুক্ত ডেটা পেয়েছি
টেকক্রাঞ্চ বুধবার অ্যাপ্লিকেশনটির একটি সংক্ষিপ্ত পরীক্ষার সময় বাগটি আবিষ্কার করেছিল। আমাদের পরীক্ষার অংশ হিসাবে, আমরা ভার্চুয়ালাইজড অ্যান্ড্রয়েড ডিভাইসে কাঁচা ডেটিং অ্যাপটি ইনস্টল করেছি, যা আমাদের শারীরিক অবস্থান যেমন কোনও বাস্তব-বিশ্বের ডেটা সরবরাহ না করে অ্যাপটি ব্যবহার করতে দেয়।
আমরা ডামি ডেটা সহ একটি নতুন ব্যবহারকারী অ্যাকাউন্ট তৈরি করেছি, যেমন একটি নাম এবং জন্মের তারিখ, এবং আমাদের ভার্চুয়াল ডিভাইসের অবস্থানটি উপস্থিত হওয়ার জন্য কনফিগার করেছি যেন আমরা ক্যালিফোর্নিয়ার মাউন্টেন ভিউয়ের একটি যাদুঘরে ছিলাম। অ্যাপ্লিকেশনটি যখন আমাদের ভার্চুয়াল ডিভাইসের অবস্থানের জন্য অনুরোধ করেছিল, তখন আমরা অ্যাপটিকে আমাদের সুনির্দিষ্ট স্থানে অ্যাক্সেসকে কয়েক মিটারে প্রবেশের অনুমতি দিয়েছি।
আমরা কাঁচা অ্যাপ্লিকেশনটিতে এবং বাইরে প্রবাহিত ডেটা নিরীক্ষণ ও পরিদর্শন করতে একটি নেটওয়ার্ক ট্র্যাফিক বিশ্লেষণ সরঞ্জাম ব্যবহার করেছি, যা অ্যাপ্লিকেশনটি কীভাবে কাজ করে এবং অ্যাপটি ব্যবহারকারীদের সম্পর্কে অ্যাপটি কী ধরণের ডেটা আপলোড করছে তা বুঝতে আমাদের অনুমতি দেয়।
টেকক্রাঞ্চ কাঁচা অ্যাপটি ব্যবহারের কয়েক মিনিটের মধ্যে ডেটা এক্সপোজারটি আবিষ্কার করেছে। যখন আমরা প্রথম অ্যাপটি লোড করেছি, আমরা দেখতে পেলাম যে এটি ব্যবহারকারীর প্রোফাইল তথ্যটি সরাসরি সংস্থার সার্ভারগুলি থেকে টানছে, তবে সার্ভারটি কোনও প্রমাণীকরণের সাথে ফিরে আসা ডেটা রক্ষা করছে না।
অনুশীলনে, এর অর্থ হ’ল যে কেউ এক্সপোজড সার্ভারের ওয়েব ঠিকানাটি দেখার জন্য ওয়েব ব্রাউজার ব্যবহার করে অন্য কোনও ব্যবহারকারীর ব্যক্তিগত তথ্য অ্যাক্সেস করতে পারে – api.raw.app/users/ অন্য অ্যাপ্লিকেশন ব্যবহারকারীর সাথে সম্পর্কিত একটি অনন্য 11-অঙ্কের নম্বর অনুসরণ করে। অন্য কোনও ব্যবহারকারীর 11-সংখ্যার শনাক্তকারীগুলির সাথে সামঞ্জস্য করার জন্য অঙ্কগুলি পরিবর্তন করা তাদের অবস্থানের ডেটা সহ সেই ব্যবহারকারীর প্রোফাইল থেকে ব্যক্তিগত তথ্য ফিরিয়ে দিয়েছে।
এই ধরণের দুর্বলতা একটি অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স বা আইডোর হিসাবে পরিচিত, বা এক ধরণের বাগ যা কাউকে ডেটা অ্যাক্সেস করার ক্ষেত্রে যথাযথ সুরক্ষা চেকের অভাবের কারণে কাউকে অন্য কারও সার্ভারে ডেটা অ্যাক্সেস বা সংশোধন করতে দেয়।
যেমনটি আমরা আগেই ব্যাখ্যা করেছি, উদাহরণস্বরূপ, ইডোর বাগগুলি একটি প্রাইভেট মেলবক্সের কী রাখার অনুরূপ, তবে সেই কীটি একই রাস্তার প্রতিটি অন্যান্য মেলবক্সও আনলক করতে পারে। যেমন, আইডোর বাগগুলি সহজেই এবং কিছু ক্ষেত্রে গণনা করা যেতে পারে, ব্যবহারকারীর ডেটা রেকর্ডের পরে রেকর্ডে অ্যাক্সেসের অনুমতি দেয়।
ইউএস সাইবারসিকিউরিটি এজেন্সি সিআইএসএ দীর্ঘদিন ধরে আইডোর বাগগুলি উপস্থিত ঝুঁকি সম্পর্কে সতর্ক করেছে, যার মধ্যে সাধারণত সংবেদনশীল ডেটা “স্কেল” অ্যাক্সেস করার ক্ষমতা সহ। এর অংশ হিসাবে নকশা দ্বারা সুরক্ষিত উদ্যোগ, সিআইএসএ ড 2023 পরামর্শদাতায় যে বিকাশকারীদের তাদের অ্যাপ্লিকেশনগুলি যথাযথ প্রমাণীকরণ এবং অনুমোদনের চেকগুলি সম্পাদন করা উচিত তা নিশ্চিত করা উচিত।
যেহেতু কাঁচা বাগটি স্থির করে, এক্সপোজড সার্ভারটি আর ব্রাউজারে ব্যবহারকারীর ডেটা ফেরত দেয় না।
[ad_2]
