Додаток TeaOnHer, створений для чоловіків, які бажають ділитися інформацією про жінок, з якими вони нібито зустрічалися, допустив масштабний витік персональних даних тисяч користувачів — у тому числі фотографій водійських посвідчень та інших державних документів.
Про це розповідає ProIT
Відкритий доступ до адміністративної панелі та API
TeaOnHer позиціонувався як платформа для обміну інформацією про стосунки під приводом особистої безпеки. Однак неякісний код і серйозні недоліки в захисті призвели до того, що конфіденційні дані користувачів опинилися у вільному доступі. Через API додатку можна було отримати доступ до особистої інформації, зокрема до унікальних ідентифікаторів облікових записів, імен профілів, віку, місцезнаходження, особистих електронних адрес, а також до посилань на фото водійських посвідчень і селфі, необхідних для верифікації особи.
Найбільш тривожним було те, що фотографії документів зберігалися на хмарному сервері Amazon S3 з відкритим доступом. Будь-хто, маючи посилання, міг переглядати або завантажувати ці файли без жодних обмежень.
Недоліки безпеки та реакція розробника
Вразливість дозволяла виконувати запити до API без автентифікації, що відкривало шлях до масового збору приватних даних. Навіть адміністративні дані, такі як електронна адреса та пароль розробника, були знайдені у відкритому вигляді на публічній сторінці API. Це означало, що потенційний зловмисник міг отримати доступ до панелі управління та до всієї системи модерації документів і користувачів.
На момент виявлення проблем TeaOnHer займав друге місце серед безкоштовних додатків в App Store. Після звернення до розробника Ксав’єра Лампкіна щодо вразливостей, він не відповів на запити про коментарі та не повідомив користувачів про інцидент.
“Ви, мабуть, переплутали нас із ‘Tea app’. У нас немає витоку даних чи порушення безпеки”, — відповів Лампкін у листі. (Однак витік мав місце).
Після розголосу недоліків API та документація були закриті, а доступ до завантажених документів обмежений. Зараз API вимагає автентифікації, і попередні уразливості виправлені.
Інцидент із TeaOnHer ще раз підтверджує ризики, пов’язані з вимогами до підтвердження віку та особи у сучасних додатках, а також важливість надійного захисту персональних даних. Розробники, незалежно від масштабу проєкту, несуть відповідальність за безпеку інформації своїх користувачів.