TeaOnHer, конкурентний додаток для чоловіків, витікає особисту інформацію і водійські посвідчення користувачів
TeaOnHer — це додаток, розроблений для чоловіків, де вони можуть ділитися фотографіями та інформацією про жінок, з якими нібито зустрічалися. Проте цей додаток вразив користувачів витоком особистої інформації, включаючи державні посвідчення та селфі.
Додаток з’явився в App Store на початку цього тижня як відповідь на популярний додаток Tea, що дозволяє жінкам публікувати інформацію про чоловіків, з якими вони зустрічаються. Tea позионується як додаток для захисту жінок і налічує понад 6 мільйонів користувачів, подібний до Facebook-мережі “Чи зустрічаємось з одним і тим самим хлопцем?”. Однак цей додаток викликав багато суперечок, оскільки багато з розміщених жінками повідомлень не підлягають перевірці.
Реакція на Tea загострилася минулого тижня, коли 404 Media повідомила, що користувачі 4chan помітили публічно доступну базу даних, що належить додатку, у якій було викрито понад 72 000 зображень, включаючи тисячі селфі та фото посвідчень, надісланих для підтвердження акаунтів. Після цього хакерський напад викрив понад 1 мільйон приватних повідомлень, надісланих через додаток, внаслідок чого функцію обміну повідомленнями було вимкнено.
TeaOnHer, який наразі займає друге місце серед лайфстайл-додатків на iOS, виглядає як пряма відповідь на додаток Tea, навіть скопіювавши формулювання з опису Tea у своєму списку.
Однак, як і в додатку, який він намагався наслідувати, TeaOnHer має свої власні вразливості.
Згідно з даними TechCrunch, був виявлений щонайменше один недолік безпеки, який дозволяє будь-кому отримати доступ до даних користувачів TeaOnHer, включаючи їхні імена користувачів та адресу електронної пошти, а також водійські посвідчення та селфі, які користувачі завантажили. Зображення цих водійських посвідчень є доступними за публічними веб-адресами, що дозволяє будь-кому з посиланнями переглядати їх через веб-браузер.
У одному випадку TechCrunch побачив список повідомлень, розміщених у TeaOnHer, в якому були вказані адреси електронної пошти, відображувані імена та самозвітована локація кожного користувача.
TechCrunch утримується від поширення деяких деталей вразливостей, щоб не допомогти злочинцям отримати доступ до даних. Розробники додатку не відповіли на запити TechCrunch щодо того, до кого можна звернутися для повідомлення про недоліки. У зв’язку з цим TechCrunch публікує цей звіт з обмеженими деталями проблеми, враховуючи популярність додатку та ризики, пов’язані з його використанням.
TeaOnHer був завантажений до App Store iOS розробником Newville Media Corporation. За даними LinkedIn, засновником і генеральним директором компанії є Ксав’єр Лемпкін.
TechCrunch також виявили щонайменше один запис TeaOnHer, пов’язаний з даними самого Лемпкіна.
Недолік безпеки, ймовірно, вплине на будь-якого користувача, який зареєструвався або поділився документами, що засвідчують особу в додатку. Також цей баг виявляє кількість користувачів TeaOnHer, яка на момент публікації становить близько 53 000.
TechCrunch також виявили потенційний другий недолік безпеки, коли електронна адреса та паролі в plaintext, що належать творцю додатку Лемпкіну, залишилися відкритими на сервері. Ці облікові дані, здається, надають доступ до “адмін” панелі додатку. TechCrunch не використовував ці дані, оскільки це було б незаконно, але підкреслює ризики невипадкового залишення облікових даних адміністратора у відкритому доступі.
Разом зі своїми вразливостями, зміст, представлений у TeaOnHer, сам по собі викликає занепокоєння. Хоча додаток запитує посвідчення особи та селфі від своїх користувачів для перевірки їх особи — цей процес не є автоматичним — користувачі можуть отримати доступ до “гостьового” виду додатку без входу.
Відкриваючи “гостьовий” режим, TechCrunch помітили кілька зображень однієї й тієї ж оголеної жінки, розміщених під різними іменами у формі спаму. Невідомо, чи давала ця жінка згоду на поширення цього фото. Інші публікації містять фотографії та імена жінок, разом з коментарями, що називають їх “легкими” або звинувачують у поширенні статевих інфекцій.
Серед усіх безкоштовних додатків, TeaOnHer займає 17-те місце, випереджаючи такі додатки, як Instagram, Netflix, Uber та Spotify. Наразі Tea займає друге місце.
