我黑了一个约会应用(以及如何不对待安全研究人员)
Hacker News 摘要原标题:I hacked a dating app (and how not to treat a security researcher)
在这篇文章中,作者亚历克斯·沙皮罗(Alex Schapiro)分享了他针对约会应用Cerca的安全漏洞进行的研究,以及在披露过程中遇到的困难。他发现了多个安全问题,包括不安全的OTP(一次性密码)验证和开放的API端点,这使得用户的私人信息如护照信息、性偏好及私人消息都暴露在外。
文章详细描述了他如何识别这些漏洞的过程。沙皮罗首先下载了应用,并利用Charles Proxy工具截获网络请求。在分析中,他发现在触发OTP时,验证码直接包含在响应中,意味着任何人只需手机号码即可访问其他用户的账户。他接着通过对Cerca的API端点进行目录模糊测试,发现了多个暴露的接口,能够利用这些接口获取用户的个人信息。
尤其令人担忧的是,沙皮罗能够通过一个未保护的端点获取所有用户的个人信息,包括手机号码和护照信息。他使用Python脚本枚举有效的用户ID,从而能够访问成千上万用户的私人信息。他甚至统计了在Cerca上注册的用户数量,以及提交身份证明用户的数量,这显示出潜在的数据泄露规模非常巨大。
沙皮罗在发现这些严重问题后,及时向Cerca团队进行了负责任的披露,最初他们表达了感谢并承诺尽快解决这些问题,并向受影响的用户通报。然而,在后续的跟进中,他未能收到任何回复,Cerca也没有公开确认该事件或通知用户。最终,虽然这些漏洞得到了修复,他选择发表这篇文章来提醒公众,强调初创企业在开发应用时亟需重视安全性,以及对用户数据保护的重要性。
文章结尾,沙皮罗反思了安全漏洞所带来的严重后果,呼吁开发者在追求应用快速上线的同时,应当优先考虑用户安全和隐私保护,以免给用户的生活带来不可逆转的影响。他希望通过这篇文章能够提高大家对网络安全的关注,推动创建一个更安全的互联网环境。