TechCrunch подтверждает, что приложение TeaOnHer, предназначенное для мужчин, чтобы делиться фотографиями и информацией о женщинах, с которыми они якобы встречались, раскрыло личную информацию пользователей, включая государственные удостоверения личности и селфи.
Приложение, запущенное в Apple App Store в начале этой недели, является ответом на другое вирусное приложение Tea, которое позволяет женщинам публиковать информацию о мужчинах, с которыми они встречаются. Tea рекламируется как приложение для безопасности женщин с более чем 6 миллионами пользователей, похожее на сеть Facebook «Мы встречаемся с одним и тем же парнем?». Однако приложение вызывает споры, поскольку многие из заявлений, которые публикуют женщины, не могут быть проверены.
Негативная реакция вокруг Tea усилилась на прошлой неделе, после того как 404 Media сообщило, что пользователи 4chan отомстили, обнаружив публично доступную базу данных, принадлежащую приложению, в которой было более 72 000 изображений, включая тысячи селфи и удостоверений личности с фотографией, предоставленных для подтверждения учетной записи. В результате последующего взлома было раскрыто более 1 миллиона личных сообщений, отправленных через приложение, что побудило разработчиков отключить функцию обмена сообщениями.
TeaOnHer, которое сейчас занимает второе место среди приложений в категории «Стиль жизни» на iOS, похоже, является прямым ответом на приложение Tea, даже копируя формулировки из описания Tea в App Store в своем собственном списке.
Но, как и приложение, которое оно пыталось имитировать, TeaOnHer содержит собственные уязвимости в безопасности.
TechCrunch обнаружил как минимум одну уязвимость, которая позволяет любому получить доступ к данным пользователей приложения TeaOnHer, включая их имена пользователей и связанные с ними адреса электронной почты, а также водительские удостоверения и селфи, которые пользователи загрузили в TeaOnHer. Изображения этих водительских удостоверений являются общедоступными веб-адресами, что позволяет любому, у кого есть ссылки, получить к ним доступ с помощью веб-браузера.
В одном случае TechCrunch увидел список постов, опубликованных в TeaOnHer, с указанием адреса электронной почты, отображаемого имени и самоописанного местоположения каждого пользователя.
TechCrunch утаивает некоторые детали ошибок, чтобы не помочь злоумышленникам получить доступ к чьим-либо данным. Разработчик приложения не ответил на электронные письма от TechCrunch с просьбой сообщить, кому мы можем сообщить об этих недостатках. Таким образом, TechCrunch публикует этот отчет с ограниченными подробностями о проблеме, учитывая текущую популярность приложения и риски, связанные с его использованием.
TeaOnHer было загружено в iOS App Store разработчиком под названием Newville Media Corporation. Согласно LinkedIn, основателем и генеральным директором этой компании является Ксавьер Лэмпкин.
TechCrunch обнаружил как минимум одну запись TeaOnHer, связанную с личными данными Лэмпкина.
Нарушение безопасности, вероятно, затронет всех пользователей, которые зарегистрировались в приложении или поделились с ним своими документами, удостоверяющими личность. Баг также раскрывает количество пользователей приложения TeaOnHer, которое на момент публикации составляет около 53 000 человек.
TechCrunch также обнаружил потенциальную вторую проблему безопасности, в которой адрес электронной почты и пароль в виде обычного текста, принадлежащие создателю приложения, Лампкину, были оставлены открытыми на сервере. Эти учетные данные, по-видимому, предоставляют доступ к панели «администратора» приложения. TechCrunch не использовал эти учетные данные, поскольку это было бы незаконно, но подчеркивает риски, связанные с непреднамеренным оставлением учетных данных администратора открытыми в Интернете.
Наряду с недостатками безопасности, контент, представленный в TeaOnHer, сам по себе вызывает беспокойство. Хотя приложение запрашивает у пользователей удостоверения личности и селфи для подтверждения их личности — процесс, который не является автоматическим — пользователи могут получить доступ к «гостевому» просмотру приложения без входа в систему.
Сразу после открытия «гостевого» просмотра TechCrunch увидел несколько изображений одной и той же обнаженной женщины, размещенных под разными именами в виде спама. Неясно, дала ли эта женщина согласие на публикацию этой фотографии. В других постах публикуются фотографии и имена женщин, а также комментарии, в которых их называют «легкодоступными» или обвиняют в распространении инфекций, передаваемых половым путем.
Среди всех бесплатных приложений TeaOnHer занимает 17-е место, опережая такие приложения, как Instagram, Netflix, Uber и Spotify. Tea в настоящее время занимает 2-е место.
Оригинал
Уникальность
