Приложение TeaOnHer, предназначенное для обмена информацией о якобы встречающихся женщинах, неожиданно раскрывало личные данные тысяч пользователей в открытом доступе.
TeaOnHer создавалось для мужчин, чтобы они могли делиться фотографиями и сведениями о женщинах, с которыми они якобы встречались. Однако, как и похожее приложение для женщин, оно имело серьезные уязвимости в безопасности, которые допускали утечку личных данных, включая фото водительских прав и других удостоверений личности.
Подобные приложения позиционируются как безопасное пространство для обмена информацией о личных отношениях, но некачественный код и ошибки в защите подчеркивают постоянные риски для конфиденциальности пользователей, которые вынуждены предоставлять чувствительные данные.
Проблемы безопасности усугубляются новыми законами, требующими подтверждения возраста с помощью документов, что увеличивает объем личной информации в базах данных.
Мы смогли найти уязвимости TeaOnHer менее чем за 10 минут после получения ссылки на приложение. Основной проблемой стала открытая часть backend-системы приложения — API, где были обнаружены общедоступные учетные данные для входа в админ-панель и возможность доступа к личным данным пользователей без авторизации.
API позволял просматривать данные пользователей, включая имена, возраст, местоположение, адреса электронной почты и ссылки на фотографии водительских прав и селфи, которые хранились в общедоступном облачном хранилище.
Несмотря на попытки связаться с разработчиком для уведомления об уязвимостях, он либо не отвечал, либо отрицал наличие проблем, не подтвердив при этом уведомление пострадавших пользователей или регуляторов.
После нашего сообщения уязвимости были исправлены: доступ к API теперь требует авторизации, а ссылки на документы ограничены.
Это история подчеркивает важность ответственного отношения разработчиков к безопасности данных пользователей. Если не можете гарантировать защиту личной информации, лучше не создавать такие сервисы.
Если у вас есть информация о подобных утечках, вы можете связаться с нами через защищенный канал.
