Приложение TeaOnHer, созданное для мужчин, чтобы делиться фотографиями и информацией о женщинах, с которыми они якогда-то встречались, раскрыло личные данные пользователей, включая удостоверения личности и селфи, подтвердил TechCrunch.
Сервис, появившийся в Apple App Store на этой неделе, стал ответом на другое вирусное приложение Tea, позволяющее женщинам публиковать посты о мужчинах. Tea позиционируется как приложение для безопасности женщин с более чем 6 млн пользователей, схожее с группами формата «Are we dating the same guy?» в Facebook. Однако оно вызывает споры, поскольку многие публикуемые утверждения невозможно проверить.
Критика Tea усилилась на прошлой неделе, после того как 404 Media сообщила, что пользователи 4chan обнаружили открытую базу данных приложения, содержащую более 72 000 изображений, включая селфи и фото удостоверений, загруженных для верификации аккаунтов. Последующий взлом обнажил более миллиона личных сообщений из чатов приложения, что заставило разработчиков отключить функцию обмена сообщениями.
TeaOnHer, занимающий второе место в категории «Образ жизни» в iOS, явно копирует описание Tea из App Store. Однако, как и его аналог, приложение имеет собственные уязвимости.
TechCrunch обнаружил как минимум одну уязвимость, позволяющую получить доступ к данным пользователей TeaOnHer: именам, электронной почте, водительским правам и селфи. Изображения документов хранятся на публичных URL-адресах, доступных через браузер. В некоторых случаях к постам прилагались email, псевдонимы и локации пользователей.
Некоторые детали уязвимостей не раскрываются, чтобы не упростить доступ злоумышленникам. Разработчик TeaOnHer, компания Newville Media Corporation (основатель — CEO Ксавье Лампкин), не ответил на запросы TechCrunch. Внутри приложения была найдена запись, связанная с данными самого Лампкина.
Утечка затронула около 53 000 пользователей, предоставивших документы для верификации. Также обнаружены открытые email и пароль в незашифрованном виде, принадлежащие Лампкину и, возможно, дающие доступ к админ-панели. TechCrunch не использовал эти данные из соображений законности.
Контент TeaOnHer также вызывает вопросы. Несмотря на требование верификации через документы, гости могут просматривать приложение без регистрации. В «гостевом» режиме сразу видны спам-посты с изображениями обнажённой женщины (без подтверждения её согласия), а также фото и имена женщин с оскорбительными комментариями вроде «лёгкая» или обвинения в распространении ИППП.
На момент публикации TeaOnHer занимает 17-е место в общем рейтинге бесплатных приложений iOS, опережая Instagram, Netflix, Uber и Spotify. Приложение Tea находится на втором месте.