ディーティングアプリ『Raw』、位置情報や個人情報が誤って公開される 本周、新しいウェアラブルデバイス『Raw ring』を発表したディーティングアプリ『Raw』が、ユーザーの個人データを誤って公開していたことが明らかになりました。同社は「リアルで自然な愛」を促進すると宣伝していますが、BeRealのようなインターフェースを持つアプリの利用者に対する配慮が足りなかったようです。 『Raw』は、ユーザーが恋人の位置情報を追跡できるリングを発表し、「不倫を防ぐ」と豪語していました。しかし、この機能が問題を引き起こす懸念があることはすぐに指摘されました。さらには、TechCrunchの調査により、アプリ内で扱われる個人データが基本的なデジタルセキュリティ保護が行われていなかったことが判明しました。 TechCrunchでは仮想Androidデバイスにアプリをダウンロードし、ネットワーク監視ツールを使用してデータの送受信を観察。分析によると、ユーザーの個人情報、性別、出生日、性的偏好、そして具体的な位置情報などが認証なしで公開されていました。具体的には、ウェブブラウザで api.raw.app/users/ に続いて11桁の数字を入力することで、任意のユーザーのプライベートデータにアクセスできました。これが「不安定な直接オブジェクト参照（IDOR）」という脆弱性です。 Gizmodoが『Raw』に問い合わせたところ、同社は水曜日までに問題を修正し、追加の保護策を講じたことを確認しています。「以前公開されていたすべてのエンドポイントを確実に保護し、今後同様の問題が生じないよう新たな対策を実施しました」と、『Raw』の共同創業者マリーナ・アンダーソン氏は述べています。 ソフトウェア業界でセキュリティが軽視されるのは珍しいことではありません。時間と費用がかかり、開発プロセスが遅延するため、多くの企業がセキュリティ対策を省略します。しかし、恋愛や私生活に深く関わるディーティングアプリにおいては、ユーザーの最もプライベートな情報を取り扱う責任が重いため、より严格的なセキュリティ管理が求められます。安全性を確保するためにしっかりと対応すべき时刻だと言えますね。