Para todas las aplicaciones sobre derramar frijoles sobre las personas que supuestamente salió, es irónico que Teaonher derramara la información personal de miles de usuarios en la web abierta.
Teaonher fue diseñado para compartir fotos e información sobre mujeres que los hombres afirman estar saliendo. Sin embargo, como informó Teaonher la semana pasada, la seguridad en la que Teaonher publica información personal del usuario, incluida la información personal del usuario y otros documentos de identificación emitidos por el gobierno, ha perforado un agujero en la seguridad, al igual que el té que el té estaba tratando de replicar.
Aplicaciones como estas comunidades cerradas se crearon superficialmente para permitir a los usuarios compartir información sobre sus relaciones bajo la apariencia de seguridad personal. Sin embargo, los fallas de codificación y seguridad de orugo subrayan los riesgos de privacidad continuos inherentes al exigir a los usuarios que envíen información confidencial para usar la aplicación o sitio web.
Tal riesgo solo empeora. A pesar de los riesgos de privacidad y seguridad asociados con el almacenamiento de bases de datos de la información personal de las personas, las aplicaciones populares y los servicios web ya deben cumplir con la Ley de Verificación de Age, lo que requiere que las personas envíen sus propios documentos de identidad antes de recibir acceso a contenido con temas de adultos.
Cuando TechCrunch lanzó nuestra historia la semana pasada, no lanzó ningún detalle específico del error que descubrimos en Teaonher. En cambio, decidimos publicar divulgaciones limitadas debido a la creciente popularidad de la aplicación y los riesgos directos que enfrentan los usuarios cuando usan la aplicación.
En el momento de la divulgación, Teaonher era el número dos en la tabla de aplicaciones gratuita de Apple App Store.
Los defectos que encontramos parecen estar resueltos. TechCrunch ahora puede compartir cómo encontrar la licencia de conducir de un usuario dentro de los 10 minutos posteriores a enviar un enlace a una aplicación de App Store, gracias a la facilidad de encontrarla en el sistema o API de backend público de su aplicación.
El desarrollador de aplicaciones Xavier Lampkin no respondió a múltiples solicitudes de comentarios después de enviar detalles sobre los defectos de seguridad. Lampkin tampoco se comprometió a notificar a los usuarios de Teaonher afectados o a los reguladores estatales que la seguridad fue caducada.
También le pregunté a Lumpkin si se realizó una revisión de seguridad antes de que se lanzara la aplicación Teaonher, pero no hubo respuesta. (Habrá más por hacer sobre la divulgación más tarde).
Ahora, comience con el reloj.
Teaonher publicó credenciales «Panel de administración»
Antes de descargar la aplicación, primero quería encontrar un lugar donde Teaonher esté alojado en Internet.
Este suele ser un buen lugar para comenzar, ya que le ayuda a comprender otros servicios que su dominio ha conectado en Internet.
Para encontrar el nombre de dominio, primero miré (accidentalmente) la lista de aplicaciones en la tienda de aplicaciones de Apple y encontré el sitio web de la aplicación. Esto generalmente se encuentra en nuestra Política de privacidad. Esto requiere que incluya la aplicación antes de que Apple la enumere. (La lista de aplicaciones afirma que los desarrolladores «no recopilan datos de esta aplicación».
La Política de privacidad de Teaonher era en forma de un documento público de Google que incluye una dirección de correo electrónico para el dominio de Teaonher.com, pero no había sitio web.
En ese momento, el sitio web no era público, por lo que buscamos los registros públicos de DNS para el dominio porque el sitio web no se estaba cargando. Esto le ayuda a identificar qué tipo de servidor de correo electrónico y alojamiento web están alojados en su dominio. También estaba buscando un subdominio público que los desarrolladores pudieran usar para alojar características de la aplicación (o alojar otros recursos que probablemente no estarían disponibles públicamente).
Sin embargo, mirando los registros públicos de Internet de Teaonher, no había información significativa que no sea un solo subdominio, AppServer.teaonher.com.
Cuando abrí esta página en mi navegador, se cargó la página de destino de la API de Teaonher (si tengo curiosidad, subí una copia aquí). La API permite que las cosas en Internet se comuniquen entre sí, como vincular aplicaciones a una base de datos central.
En esta página de destino, encontré una dirección de correo electrónico publicada y una contraseña de plantext (no lejos de la «contraseña») para que mi cuenta de Lampkin pueda acceder al «panel de administración» de Teaonher.
La página API mostró que el panel de administración utilizado para los sistemas de verificación de documentos y la gestión de usuarios se encuentra en «localhost». Esto puede ser para la computadora física que ejecuta el servidor y no podría tener acceso directamente desde Internet. No está claro si alguien podría acceder al panel de administración usando sus credenciales, pero esto en sí mismo fue un descubrimiento sorprendente.
En este punto, solo teníamos 2 minutos.
De lo contrario, la página de destino de la API no hizo mucho más que proporcionar indicaciones sobre lo que la API podría hacer. Esta página enumera varios puntos finales de API a los que su aplicación debe acceder para que funcione, como recuperar los registros de usuarios de la base de datos de Teaonher, como dejar revisiones y enviar notificaciones.
Con el conocimiento de estos puntos finales, es más fácil interactuar directamente con la API, como si fuera imitando la aplicación en sí. Todas las API son diferentes, por lo que aprender cómo funciona la API y cómo comunicarse lleva tiempo, incluidos los puntos finales que usa y los parámetros que necesita para hablar el idioma de manera efectiva. Aplicaciones como Postman lo ayudan a acceder e interactuar directamente con las API, pero esto requiere tiempo y alguna prueba y error (y paciencia) y la API escupe los datos.
Pero en este caso había una manera aún más fácil.
La API de Teaonher ahora permite el acceso no reconocido a los datos del usuario
Esta página de destino de API contenía un punto final llamado /documento, que contenía un documento generado por autopi de API (con un producto llamado UI Swagger). Esto incluía una lista completa de comandos que podrían ejecutarse en la API.
Esta página de documento fue efectivamente una hoja maestra para todas las acciones que puede realizar en la API de Teaonher, y como usuario de la aplicación regular y, lo que es más importante, como administrador de aplicaciones, creando nuevos usuarios, verificando documentos de identificación de usuario, moderando comentarios y más.
La documentación de la API también proporciona la capacidad de consultar la API de Teaonher y devolver los datos del usuario, lo que esencialmente le permite recuperar datos del servidor de backend de la aplicación y mostrarlos en su navegador.
No es raro que los desarrolladores publiquen documentos de API, pero el problema aquí era que podían hacer algunas solicitudes de API sin autenticación. No se requirieron contraseña o credenciales para devolver información de la base de datos de Teaonher. En otras palabras, puede ejecutar comandos en la API para acceder a los datos privados de los usuarios a los que los usuarios de la aplicación no deberían poder acceder, y mucho menos a cualquier persona en Internet.
Todos estos fueron útiles y públicos para que todos lo vean.
Por ejemplo, solicitar una lista de usuarios en la cola de verificación de ID de Teaonher, no solo presionar un botón en la página API, sino que no hay nada llamativo aquí, sino que devuelve docenas de registros de cuentas a las personas que recientemente se registraron para Teaonher.
Los registros devueltos del servidor de Teaonher incluyeron el identificador único del usuario (esencialmente una cadena aleatoria de letras y números), el nombre de la pantalla del perfil público y la edad y ubicación autoinformada, así como una dirección de correo electrónico privada. El registro también incluía un enlace de dirección web que contiene la licencia de conducir de un usuario y una foto selfie correspondiente.
Peor aún, estas licencias de conducir, identificaciones emitidas por el gobierno y fotos selfies se almacenan en el conjunto de servidores S3 Cloud alojados de Amazon para que cualquier persona con una dirección web pueda hacerlo público. Esta configuración pública permite a cualquier persona con un enlace al documento de identidad de alguien abrir el archivo desde cualquier lugar sin restricciones.
Ese identificador de usuario único también le permite usar la página API para buscar directamente los registros de los usuarios individuales y devolver los datos de la cuenta y los documentos de identificación asociados. El acceso sin supresión a la API permitió a los usuarios maliciosos raspar grandes cantidades de datos de los usuarios de la aplicación, al igual que lo que sucedió con la aplicación TEA desde el principio.
Desde el frijol hasta la taza, tardó unos 10 minutos y todavía no me inicié sesión en la aplicación. El error era muy fácil de encontrar, por lo que si no éramos maliciosos antes que lo hiciéramos, sería pura suerte.
Preguntamos, pero Lumpkin no declaró si tenía capacidades técnicas, como registros para determinar si usaba (o utilizaba mal) la API en cualquier momento para acceder al documento de verificación del usuario, como reducir las direcciones web de la API.
Desde que se informó a Lampkin, la página de destino de la API se ha eliminado junto con la página del documento. Esto solo mostrará el estado del servidor donde la API Teaonher se está ejecutando como «salud». Al menos en las pruebas de autos, la API parece depender de la autenticación, y las llamadas anteriores hicieron que el uso de la API ya no funcione.
Las direcciones web que contienen los documentos de identidad cargados del usuario también están restringidas desde la vista pública.
Los desarrolladores de Teaonher han rechazado los esfuerzos para revelar fallas
Dado que Teaonher no tenía un sitio web oficial en el momento de los hallazgos, TechCrunch contactó la dirección de correo electrónico que figura en su política de privacidad para revelar los lapsos de seguridad.
Sin embargo, el correo electrónico se recuperó con un error que decía que no se pudo encontrar la dirección de correo electrónico. También intenté contactar a Lampkin a través de su dirección de correo electrónico en su sitio web, Newville Media, pero nuestro correo electrónico saltó con el mismo mensaje de error.
TechCrunch nos ha pedido que llegemos a Lampkin a través del mensaje de LinkedIn y proporcionemos una dirección de correo electrónico donde podamos enviar detalles sobre la falla de seguridad. Lampkin respondió con una dirección de correo electrónico genérica de «soporte».
Cuando TechCrunch revela un defecto de seguridad, primero confirma que la persona o empresa es el destinatario correcto. De lo contrario, enviar ciegamente los detalles de los errores de seguridad a la persona equivocada puede representar un riesgo. Antes de compartir detalles específicos sobre el defecto, les preguntamos a los destinatarios nuestra dirección de correo electrónico de «soporte» si era la dirección correcta para revelar exposiciones de seguridad que contienen datos de usuario de Teaonher.
Debe confundirse con «la aplicación del té», respondió Lampkin por correo electrónico. (No lo teníamos). «No hay violaciones ni fugas de datos», dijo. (Lo hizo). «Tenemos como máximo algunos bots, pero aún no hemos escalado lo suficientemente grande como para involucrarnos en esa conversación. Lamentamos que le hayan dado la información errónea» (no lo estábamos).
Nos complació haber establecido contacto con la persona adecuada (aunque no es la respuesta que recibimos), y TechCrunch compartió detalles de los defectos de seguridad, así como algunos enlaces a la licencia de conducir expuesta, así como una copia de los datos de Lumpkin para resaltar la gravedad del problema de seguridad.
«Gracias por esta información. Esto es muy preocupante. Voy a saltar sobre esto ahora mismo», dijo Lumpkin.
A pesar de algunos correos electrónicos de seguimiento, no he tenido noticias de Lumpkin desde que revelé un defecto de seguridad.
No importa si eres una tienda de software en solitario todo el fin de semana o un ambiente millonario que codifica los fines de semana. Los desarrolladores son responsables de mantener sus datos seguros. Si no puede mantener seguros los datos privados de sus usuarios, no lo cree desde el principio.
Póngase en contacto con nosotros si tiene alguna evidencia de que se filtre o publique una aplicación o servicio popular. Puede contactar de forma segura a este reportero a través de un mensaje encriptado con Zackwhittaker.1337.
Source link
