I hacked a dating app (and how not to treat a security researcher)
a year ago
- #privacy
- #vulnerability
- #security
- Cerca约会应用存在严重安全漏洞,导致私密聊天记录、护照信息及性取向等隐私数据外泄
- 漏洞包括OTP验证系统失效和API接口未授权访问,使得攻击者可任意获取用户数据
- 安全研究员已向Cerca公司提交漏洞报告,但该公司修复后既未回应也未通知受影响用户
- 漏洞利用可访问超6000份用户档案,内含身份证件等敏感信息与个人隐私内容
- 安全防护缺失可能导致身份盗用、跟踪骚扰及敲诈勒索,事件暴露出约会类应用亟需加强安全防护机制