Приложение для знакомств с уклоном на мужчин "TeaOnHer" имело уязвимости в системе безопасности, которые могли привести к утечке фотографий водительских удостоверений.

Приложение для знакомств и советов, ориентированное исключительно на женщин, Tea, столкнулось с десятью потенциальными коллективными исками в федеральных и государственных судах, как сообщило NBC News на прошлой неделе, после утечки тысяч селфи, фотографий удостоверений личности и личных переписок в сеть.

Эти иски могут привести к тому, что Tea придется выплатить истцам десятки миллионов долларов в качестве компенсации, что может стать катастрофой для компании, сообщил эксперт NBC News. Один из исков называет праворадикальный онлайн-форум 4chan и социальную платформу X в качестве ответчиков, утверждая, что они позволили злоумышленникам распространять личную информацию пользователей.

Тем временем было запущено новое конкурирующее приложение для мужчин под названием TeaOnHer. Как сообщает TechCrunch, в нем также были обнаружены серьезные недостатки в безопасности, которые привели к раскрытию личной информации пользователей, включая фотографии водительских прав и других документов, удостоверяющих личность, выданных государственными органами.

При изучении публичных интернет-записей TeaOnHer содержали лишь один поддомен appserver.teaonher.com. При открытии этой страницы в браузере загрузилась целевая страница API (интерфейса прикладного программирования) TeaOnHer. Именно на этой странице были обнаружены адрес электронной почты и пароль (который не отличался сложностью) учетной записи разработчика TeaOnHer, Хавьера Лэмпкина (Xavier Lampkin), для доступа к "административной панели" TeaOnHer. Эта целевая страница API включала конечную точку /docs, которая содержала автоматически сгенерированную документацию API (созданную с помощью продукта под названием Swagger UI), содержащую полный список команд, которые можно выполнять через API, включая команды администратора для получения данных пользователей.

Публикация документации API разработчиками – обычная практика, однако в данном случае некоторые запросы к API можно было выполнять без какой-либо аутентификации – не требовались пароли или учетные данные.

Записи, возвращаемые сервером TeaOnHer, содержали уникальные идентификаторы пользователей в приложении (фактически строка случайных букв и цифр), имена пользователей в публичном профиле, а также указанный ими возраст и местоположение, наряду с их личным адресом электронной почты. Записи также содержали веб-адреса, ведущие к фотографиям водительских прав пользователей и соответствующих селфи. Хуже того, эти фотографии водительских прав, документов, удостоверяющих личность, выданных государственными органами, и селфи хранились на облачном сервере Amazon S3, доступ к которому был открыт для всех, кто знал веб-адрес. Такая открытая настройка позволяла любому, у кого есть ссылка на документы, удостоверяющие личность пользователя, открывать файлы из любой точки мира без ограничений.

Обнаружить эти ошибки было так просто, что было бы везением, если бы их не обнаружили злоумышленники раньше нас. Мы обратились к Хавьеру Лэмпкину, но он не смог подтвердить, обладает ли он техническими возможностями, такими как журналы, чтобы определить, использовал ли кто-либо API для получения доступа к документам, удостоверяющим личность пользователей, например, путем сбора веб-адресов из API. После нашего доклада Хавьеру Лэмпкину целевая страница API и документация были удалены, и теперь отображается только статус сервера, на котором работает API TeaOnHer, как "исправный".

Статья отмечает, что эти недостатки были обнаружены, когда TeaOnHer занимал второе место в списке бесплатных приложений в Apple App Store. И хотя эти недостатки "кажутся устраненными", статья подчеркивает более широкую проблему: "Некачественный код и недостатки в безопасности подчеркивают постоянные риски для конфиденциальности, связанные с требованием к пользователям предоставлять конфиденциальную информацию для использования приложений и веб-сайтов".

Кроме того, журналистка Cosmopolitan отметила в пятницу, что TeaOnHer "позволяет просматривать профили до завершения верификации. Таким образом, любой (например, я) может читать отзывы".