本周，一款名为“Raw”的新型约会应用在宣布了一款名为Raw戒指的奇怪硬件后，被发现公开暴露了用户的个人数据。Raw应用声称它通过独特的用户界面促进“真实且无过滤的爱情”，该界面类似于BeReal，利用手机的前后摄像头来进行约会。Raw戒指则允许用户追踪恋人的位置，以确保对方没有出轨。然而，这款应用的数据安全性问题引起了广泛关注。 TechCrunch报道，由于缺乏基本的数字安全保护措施，Raw意外地将用户个人信息暴露给了公众。此前，任何拥有浏览器的人都可以访问应用用户的详细信息，包括出生日期、用户名、性偏好和非常精确的“街道级”位置数据。TechCrunch在一个虚拟化的安卓设备上安装了Raw应用，并使用网络监控工具观察数据传输情况，仅在几分钟内就发现了这一漏洞。他们指出，虽然该公司宣称使用端到端加密来保护用户，但实际上并未发现任何端到端加密的证据。 安全漏洞在于 Raw 应用从服务器直接拉取用户个人资料信息时，服务器未对返回的数据进行任何身份验证保护。这意味着，任何人只需通过浏览器访问暴露的服务器网址（api.raw.app/users/）并附加上另一位用户独有的11位数字编号，即可轻松获取对方的私密信息，包括位置数据。这种漏洞被称为不安全的直接对象引用（IDOR），由于缺少正确的用户访问检查，可能导致未经授权的数据访问或修改。 Gizmodo联系了Raw公司寻求更多信息。据TechCrunch的报道，这些安全问题已于周三得到了修复。该公司联合创始人Marina Anderson表示：“所有之前暴露的端点都已进行了保护，我们还实施了额外的安全措施，防止未来发生类似问题。”尽管这一声明令人安心，但业界对于 Raw 的安全性措施依然持怀疑态度，认为其在处理用户最敏感的信息时应更加慎重。 事实上，软件行业中许多公司都没有将数据安全作为首要任务。这不仅因为加强安全措施可能耗时、费力且昂贵，还会影响其他部分的生产效率。不过，对于一个主打私密交流的约会应用来说，忽视这一点显然是不明智的。毕竟，这类应用处理的是用户最为敏感和个人化的内容，安全保护应该放在首位。 行业内专家普遍认为，这一事件反映了初创公司在快速产品开发中常见的安全性疏忽。Raw虽然提出了新颖的约会方式和硬件，但在数据保护方面显然存在不足。未来，希望 Raw 能够在其创新的同时，更加重视用户隐私和数据安全。 Raw成立于2022年，总部位于美国，以其独特且仿照BeReal的设计获得了市场的关注。尽管在短时间内积累了大量用户，但这次数据泄露事件无疑对其声誉造成了重大打击。面对用户数据的高度敏感性，Raw需要采取更严格的措施来重建信任，以确保未来的安全性和可持续发展。