Descoperirea expunerii datelor personale pe TeaOnHer
Aplicația TeaOnHer, creată pentru a permite bărbaților să împărtășească informații despre femeile cu care au avut întâlniri, a expus informațiile personale a mii de utilizatori pe internet. Aceasta a fost raportată de TechCrunch, care a constatat că aplicația avea slăbiciuni majore în securitate, permițând accesul la fotografii ale permiselor de conducere și alte documente de identitate emise de guvern.
Problemele de securitate ale aplicației
TeaOnHer, similar cu aplicația Tea, a fost concepută pentru a oferi un mediu sigur utilizatorilor să împărtășească informații despre relațiile lor. Cu toate acestea, codificarea defectuoasă și problemele de securitate au scos la iveală riscurile continue de confidențialitate legate de cerințele de a furniza informații sensibile. Aceste riscuri sunt amplificate de legile de verificare a vârstei, care impun utilizatorilor să își trimită documentele de identitate pentru a accesa conținut pentru adulți, în ciuda riscurilor asociate cu stocarea acestor date.
Metodologia de descoperire a vulnerabilităților
Articolul detaliază modul în care TechCrunch a descoperit că permisele de conducere ale utilizatorilor puteau fi accesate în mai puțin de 10 minute. Aceasta s-a realizat prin identificarea unor slăbiciuni în sistemul de backend public al aplicației, cunoscut sub numele de API. Deși nu au fost publicate detalii specifice despre bug-uri, TechCrunch a decis să facă o divulgare limitată din cauza popularității în creștere a aplicației și a riscurilor imediate pentru utilizatori.
Exploatarea API-ului TeaOnHer
După descoperirea că aplicația nu avea un site web oficial, TechCrunch a investigat infrastructura publică a TeaOnHer și a găsit o pagină API care conținea date expuse, inclusiv acreditivele administratorului. Aceasta a permis accesul neautentificat la datele utilizatorilor, inclusiv la permisele de conducere și selfie-uri asociate, care erau stocate pe un server Amazon S3, accesibil public.
Răspunsul dezvoltatorului și măsurile ulterioare
Dezvoltatorul aplicației, Xavier Lampkin, nu a răspuns la solicitările de comentarii și nu a confirmat dacă utilizatorii afectați vor fi notificați. După ce TechCrunch a raportat problemele, pagina API a fost eliminată, iar acum pare că API-ul necesită autentificare, limitând accesul la datele utilizatorilor. Lampkin a recunoscut gravitatea problemei, dar de la acel moment nu a mai comunicat cu TechCrunch.
Concluzie
Problemele de securitate întâmpinate de aplicația TeaOnHer subliniază responsabilitatea dezvoltatorilor de a proteja datele utilizatorilor. Într-o eră digitală, unde informațiile personale sunt extrem de vulnerabile, este esențial ca aplicațiile să implementeze măsuri de securitate stricte pentru a preveni expunerea acestora.




