Raw交友软件翻车：用户隐私裸奔 加密承诺成空谈

Meise

最近知名约会软件Raw摊上大事了！TechCrunch调查发现，这款标榜真实社交的应用竟然让用户的私密信息在网上"裸奔"。从生日住址到性取向，连实时定位都能精确到街道，这哪是找对象，简直是给黑客送情报啊。

事情的源头是服务器防护形同虚设。外媒通过简单的IDOR漏洞测试，发现只要在网页链接里修改用户编号，就能随意查看他人档案。被扒光的信息包括：账号昵称、出生日期、性取向，最夸张的是实时定位精确到街道级别——这要是遇上变态跟踪狂，分分钟变现实版《跟踪游戏》。

最打脸的是宣传文案。Raw官网上明明写着采用端到端加密技术，结果技术人员抓包发现数据压根没加密传输。面对媒体实锤，官方改口说是"传输过程加密"，这和当初宣传的顶级防护差着十万八千里呢。好比说好给用户金库级保护，最后发现就是普通挂锁。

出事之后Raw倒是行动迅速，没过两天就给漏洞打上了补丁。不过创始人承认，软件上线至今没做过第三方安全审计，也没明确表态要通知受影响用户，只是说会报备监管部门。更令人不安的是，数据到底裸奔了多久还是个谜，内部调查还在进行中。

这起事件给所有人提了个醒：别轻信软件宣传的"绝对安全"，特别是要授权敏感信息的应用。开发者也得明白，光靠嘴皮子保证不够，真金白银投入安全防护才是正道。如今社交软件越来越渗透生活，用户隐私保护这道防线，真不能当儿戏啊。