摘要: 本文讲述了一位安全研究者发现并披露了Cerca dating应用中的多个安全漏洞。研究者通过一系列的测试,发现了包括直接暴露的OTP验证码、未受保护的API端点、个人隐私数据泄露等问题。尽管研究者与Cerca团队进行了沟通,但Cerca并未及时修复漏洞或通知用户。最终,研究者确认了漏洞已被修复,但Cerca未公开承认或通知用户。文章强调了应用安全的重要性,并指出这类漏洞可能导致的严重后果,如隐私侵犯和身份盗窃等。
讨论: 一位用户(swyx)报告称,他多次尝试联系Cerca公司,寻求关于修复措施和用户通知计划的更新,但至今未得到回应。用户对Cerca公司未公开承认该事件或通知用户表示不满,并质疑其安全性。其他用户对此表示支持,并讨论了安全问题和法律后果。有人建议如果公司不回应,可以考虑公开漏洞信息。讨论还涉及了数据隐私和安全性在产品和服务中的重要性。
原文标题:I hacked a dating app (and how not to treat a security researcher)
原文链接:https://alexschapiro.com/blog/security/vulnerability/2025/04/21/startups-need-to-take-security-seriously
讨论链接:https://news.ycombinator.com/item?id=43964937