Pour une application sur le renversement des haricots sur qui vous auriez pu sortir ensemble, il est ironique que Teaonher rende les informations personnelles de milliers de ses utilisateurs sur le Web ouvert.
Teoonher a été conçu pour que les hommes partagent des photos et des informations sur les femmes qu’ils prétendent sortir ensemble. Mais tout comme le thé, l’application Dating-Gossip pour les femmes qu’il essayait de reproduire, Teoonher avait des trous béants dans sa sécurité qui exposaient les informations personnelles de ses utilisateurs, comprenaient des photos de leur permis de conduire et d’autres documents d’identité gouvernementale, comme le rapporte TechCrunch.
Ces applications de type communautaire fermées ont été créées ostensiblement pour permettre aux utilisateurs de partager des informations sur leurs relations sous le couvert de la sécurité personnelle. Cependant, les défauts de codage et de sécurité shuddy mettent en évidence les risques de confidentialité des ongles inhérents à ce qui oblige les utilisateurs à soumettre des informations sensibles à l’utilisation et au site Web.
De tels risques ne feront que s’aggraver; Les applications populaires et les services Web doivent déjà se conformer aux lois sur la vérification de l’âge qui obligent les gens à soumettre leurs documents d’identité avant de pouvoir avoir accès à un contenu sur le thème des adultes, malgré les risques privés et de sécurité associés au stockage des bases de données des informations personnelles des personnes.
Lorsque TechCrunch a publié notre histoire la semaine dernière, nous n’avons pas publié de détailles spécifiques des bogues que nous avons découverts dans Teoonher, en erreur du côté du punisme afin de ne pas aider les mauvais acteurs à amploiter le bug. Au lieu de cela, nous avons décidé de publier une divulgation limitée, à cause de la popularité croissante de l’application et des risques immolés auxquels les utilisateurs sont confrontés lors de l’utilisation de l’application.
Au moment de la divulgation, Teoonher était n ° 2 dans les graphiques d’applications gratuits sur l’App Store d’Apple, un poste toujours occupé par l’application aujourd’hui.
Les défauts que nous avons trouvés semblent être résolus. TechCrunch peut désormais comment nous avons pu trouver les licences de conduite des utilisateurs dans les 10 minutes suivant le fait d’être un lien vers l’App Store, grâce à des défauts faciles à trouver dans le système backend public de l’application ou à l’API.
Le développeur de l’application, Xavier Lampkin, n’a pas répondu à plusieurs demandes sur la façon de soumettre des détails sur les défauts de sécurité, et Lampkin ne s’engagerait pas à notifier les utilisateurs de Teoonher ou les régulateurs d’État affutés de la déchéance de sécurité.
Nous avons également demandé à Lampkin si des critiques de sécurité avaient été victimes de lancement de l’application Teoonher, mais nous n’avons reçu aucune réponse. (Nous avons plus que nous divulguons plus tard.)
Très bien, commencez l’horloge.
TEAONHER EXPOSÉ «PANNEUR ADMINE»
Avant même de télécharger l’application, nous voulions d’abord savoir où Teaonher était hébergé sur Internet en regardant son infrastructure orientée vers le public, comme son site Web et tout ce qui est hébergé sur son domaine.
C’est généralement un bon point de départ car il aide à comprendre à quels autres services le domaine est connecté sur Internet.
Pour trouver le nom de domaine, nous avons d’abord regardé (par chance) la liste de l’application sur l’App Store d’Apple pour trouver le site Web de l’application. Cela peut être trouvé dans sa politique privée, que les applications doivent inclure avant qu’Apple ne les répertorie. (La liste des applications affirme également que le développeur «ne collecte aucune donnée à partir de cette application», ce qui est manifestement faux, alors prenez que vous le ferez.)
La politique de confidentialité de Teoonher était sous la forme d’un Google Doc publié, qui comprenait une adresse e-mail avec un domaine Teoonher.com, mais pas de site Web.
Le site Web n’était pas public à l’époque, donc sans chargement de site Web, nous examinons les enregistrements DNS orientés publics du domaine, qui peuvent aider à identifier ce qui est hébergé d’autre sur le domaine, comme le type de serveurs de messagerie ou d’hébergement Web. Nous voulions également rechercher des sous-domaines publics que le développement pourrait utiliser pour héberger des fonctionnalités pour l’application (ou hôte d’autres ressources que les shorts ne sont probablement pas publiques), tels que des tableaux de bord d’administration, des bases de données ou d’autres services orientés Web.
Mais lorsque nous regardons les dossiers Internet publics du Teoonher, il n’avait aucune information significative autre qu’un seul sous-domaine, AppServer.teaonher.com.
Lorsque nous avons ouvert cette page dans notre navigateur, ce qui était chargé était la page de destination de l’API de Teoonher (pour le curieux, nous avons téléchargé une copie ici). Une API permet de manière simple sur Internet à communiquer entre elles, comme lier une application à sa base de données centrale.
C’est sur cette page de destination que nous avons trouvé l’adresse e-mail de l’exposition et le mot de passe de la plainte (qui n’était pas si loin le «mot de passe») pour le compte de Lampkin pour accéder au «panneau d’administration» Teoonher.
La page API a montré que le panneau d’administration, utilisé pour le système de vérification des documents et la gestion USEM, était situé à «LocalHost», qui se réfère de manière simple à l’informatique physique du serveur et n’a peut-être pas été directement accessible depuis Internet. On ne sait pas si quelqu’un pouvait avoir utilisé les informations d’identification pour accéder au panneau d’administration, mais c’était en soi une constatation suffisante.
À ce stade, nous n’avions que environ deux minutes.
Sinon, la page de destination de l’API n’a pas fait grand-chose d’autre que d’offrir une indication de ce que l’API peut faire. La page a énuméré plusieurs points de terminaison API, auxquels l’application doit accéder afin de fonctionner, telles que la récupération des enregistrements utilisateur de la base de données de Teoonher, pour que les utilisateurs puissent laisser des avis et envoyer des notifications.
Avec la connaissance de ces paramètres, il peut être facile d’interagir directement avec l’API, comme si nous imitions l’application elle-même. Chaque API est différente, donc apprendre comment une API fonctionne et comment communiquer avec un temps de sortie, tel que les points de terminaison à utiliser et les paramètres nécessaires pour parler efficacement de sa langue. Des applications comme Postman peuvent être utiles pour accéder et interagir directement avec les API, mais cela nécessite du temps et un certain degré d’essais et d’erreurs (et de patience) pour faire cracher des données alors qu’ils ne le devraient pas.
Mais dans ce cas, il y avait un moyen encore plus facile.
API TEAONHER ALLOOWED ACCESSION NON AUTHENTICE
Cette page de destination de l’API comprenait un point de terminaison appelé / docs, qui contenait la documentation générée automatiquement de l’API (alimentée par un produit appelé Swagger UI) qui contenait la liste complète des commandes pouvant être effectuées sur l’API.
Cette page de documentation était effectivement une feuille principale de toutes les actions que vous pouvez effectuer sur l’API Teoonher en tant qu’utilisateur de l’application régulière, et plus imparable, en tant qu’administrateur de l’application, tels que la création de nouveaux utilisateurs, la vérification des documents d’identité des utilisateurs, la modération des commentaires, etc.
La documentation de l’API comportait également la possibilité d’interroger l’API Teoonher et de retourner les données utilisateur, nous permettant essentiellement de récupérer des données à partir du serveur backend de l’application et de l’afficher dans notre navigateur.
Bien qu’il ne soit pas rare que les développeurs publient leur documentation API, le problème ici était que certaines demandes d’API pouvaient être faites sans aucune authentification – aucun mot de passe ou Creddedential n’était nécessaire pour retourner des informations de la base de données Teoonher. En d’autres termes, vous pouvez exécuter des commandes sur l’API pour accéder aux données privées des utilisateurs qui n’auraient pas dû être accessibles à un utilisateur de l’application, sans parler de quiconque sur Internet.
Tout cela a été documenté de manière pratique et publique pour que quiconque puisse le voir.
Demander une liste d’utilisateurs actuellement dans la queue de vérification d’identité Teoonher, par exemple – rien de plus que d’appuyer sur un bouton de la page de l’API, rien de fantaisie ici – ne rendrait que des dizaines de dossiers de compte sur les personnes qui avaient récemment signé à Teoonher.
Les enregistrements renvoyés du serveur de Teoonher contenaient des identifiants uniques des utilisateurs dans l’application (essentiellement une chaîne de lettres et de chiffres aléatoires), leur nom d’écran de profil public et l’âge et la location autodéclarés, ainsi que leur adresse e-mail privée. Les enregistrements incluent également des liens d’adresse Web contenant des photos des permis de conduire des utilisateurs et des selfies correspondants.
Pire, ces photos des permis de conduire, des identifiants émis par le gouvernement et des selfies ont été détenus dans un serveur Cloud Hosted Hosted Hosted Amazon comme accessible au public à toute personne avec leur Web. Ce paramètre public permet à toute personne ayant un lien vers les documents d’identité de quelqu’un ouvrir les fichiers de n’importe où sans restrictions.
Avec cet identifiant utilisateur unique, nous pouvons également utiliser la page API pour rechercher directement les enregistrements des utilisateurs individuels, qui renvoie les données de leur compte et l’un de leurs documents d’identité associés. Avec un accès incompétent à l’API, un utilisateur malveillant aurait pu gratter d’énormes amours de données utilisateur de l’application, un peu comme ce qui s’est passé avec l’application TEA pour commencer.
Du haricot à la tasse, c’était environ 10 minutes, et nous n’avions même pas encore connecté à l’application. Les insectes étaient si faciles à constater que ce serait de la chance si personne malveillant ne les trouvait avant nous.
Nous avons demandé, mais Lampkin ne dirait pas s’il a la capacité technique, telle que les journaux, pour déterminer si quelqu’un avait utilisé (ou abusé) l’API à tout moment pour accéder aux documents de vérification des utilisateurs, comme en grattant les adresses Web de l’API.
Dans les jours qui ont suivi notre rapport à Lampkin, la page de destination de l’API a été supprimée, ainsi que sa page de documentation, et il affiche désormais uniquement l’état du serveur que l’API Teoonher fonctionne sur « sain ». Au moins sur les tests superficiels, l’API semble désormais s’appuyer sur l’authentification et les appels précédents effectués à l’aide de l’API sans enroulement.
Les adresses Web contenant des documents d’identité téléchargés des utilisateurs ont également été limitées de la vue publique.
Le développeur du Teaonher a consacré des efforts pour les défauts du mala
Étant donné que Teoonher n’avait aucun site officiel au moment de nos conclusions, TechCrunch contacte l’adresse e-mail indiquée sur la politique de confidentialité dans le but de divulguer les tours de sécurité.
Mais l’e-mail a rebondi avec une erreur disant que l’adresse e-mail n’a pas pu être trouvée. Nous avons également trié en contact avec Lampkin via l’adresse e-mail sur son site Web, Newville Media, mais notre e-mail a rebondi avec le message d’erreur.
TechCrunch a atteint Lampkin via un message LinkedIn, lui demandant de fournir une adresse e-mail où nous y allons les détails des défauts de sécurité. Lampkin a répondu avec une adresse e-mail générale de «support» en responsabilité.
Lorsque TechCrunch divulgue un défaut de sécurité, nous tenons la main pour confirmer d’abord qu’un personnel ou une entreprise est le bon conteneur. Sinon, l’envoi aveuglément des détails d’un bogue de sécurité à la mauvaise personne pourrait créer un risque. Avant de partager des détails spécifiques sur les défauts, nous avons demandé le concours de l’adresse e-mail «de support» s’il s’agissait de l’adresse correcte pour divulguer une exposition à la sécurité impliquant des données d’utilisateur Teaonher.
«Vous devez nous faire confondre avec« l’application de thé »», a plié par e-mail. (Nous ne l’avons pas fait.) « Nous n’avons pas de violation de sécurité ou de fuite de données », a-t-il déclaré. (C’est le cas.) « Nous avons des robots au maximum, nous n’avons pas encore mis à l’échelle assez grande pour cette conversation, désolé que vous ayez été mal informé. » (Nous ne le faisions pas)
Satisfait que nous ayons établi des contacts avec la bonne personne (quoique pas avec la réponse que nous avons reçue), TechCrunch a partagé les détails des Flarws de sécurité, ainsi que plusieurs liens vers les lisses du conducteur d’exposition et une copie des propres données de Lampkin pour souligner la gravité de la sécurité.
« Merci pour ces informations. C’est très préoccupant. Nous allons sauter dessus en ce moment », a déclaré Lampkin.
Malgré plusieurs e-mails de suivi, nous n’avons pas entendu parler de Lampkin depuis que nous avons divulgué les défauts de sécurité.
Peu importe que vous ayez une boutique de logiciels d’une personne ou une ambiance milliardaire codante pendant un week-end: les développeurs ont toujours la responsabilité de protéger les données de leurs utilisateurs. Si vous ne pouvez pas protéger les données privées de vos utilisateurs, vous les construisez pour commencer.
Si vous avez des preuves d’une application ou d’un service populaire qui fuit ou exposant des informations, contactez-nous. Vous pouvez contacter en toute sécurité ce journaliste via un message chiffré sur Zackwhittaker.1337 sur le signal.
