2025年2月23日，一位网络安全研究人员发现了一个名为Cerca的新型约会应用程序中存在严重安全漏洞。他通过电子邮件联系了Cerca团队，并于次日进行了视频通话，讨论了这些漏洞及其潜在的修复措施。Cerca团队当时表示感谢并承诺迅速解决问题，并通知受影响的用户。 研究者发现的漏洞主要涉及一次性密码（OTP）的不当处理和不安全的API端点暴露。具体来说，Cerca应用在登录时直接将OTP发送在响应中，这意味着任何人只需知道用户的电话号码即可接管账户。此外，通过 fuzzing 工具，他发现Cerca的 API 端点并未受到充分保护，包括可以获取用户详细个人信息的端点。研究者甚至编写了一段 Python 脚本，用于验证有效用户ID并获取相关信息。 这些问题不仅允许攻击者访问用户的私人信息，还能看到他们的性偏好、亲密消息，以及其他个人身份信息，如护照或身份证。研究者通过脚本确认了6,117名用户的信息泄露，其中包括207名提交了身份信息的用户和19名声称是耶鲁大学学生的用户。 尽管这些漏洞现已修补，但Cerca团队在与研究人员通话后未能按约定及时跟进和通知用户。截至2025年4月21日发布本文时，Cerca仍未公开承认这一事件。这引发了对Cerca在用户数据保护方面承诺的真实性的质疑。 业内人士指出，这个案例凸显了初创企业在追求快速市场推出时往往忽视安全的重要性。许多开发人员缺乏创建安全应用程序的知识，而这种疏忽可能会给用户带来严重的安全风险。Cerca虽然声称使用加密和其他行业标准措施来保护用户数据，但这次事件显然暴露了其在安全实践上的不足。 Cerca是一家新兴的约会应用程序开发商，以其便捷的一次性密码登录方式吸引了大量用户。然而，此次安全漏洞事件无疑将对其声誉和未来发展产生负面影响。安全专家建议，所有应用开发公司应优先考虑用户数据的安全性，而不是单纯追求产品的流行度。