据NBC新闻上周报道,女性专属约会建议应用Tea“在联邦和州法院面临10起潜在的集体诉讼,原因是数据泄露导致数千张自拍照、身份证照片和私人对话被泄露到网上”。一位专家告诉NBC新闻,这些诉讼可能导致Tea向原告支付数千万美元的赔偿金,这对该公司来说可能是灾难性的……其中一项诉讼将右翼在线讨论平台4chan和社交平台X列为被告,指控它们允许不法分子传播用户的个人信息。但与此同时,一款名为“TeaOnHer”的针对男性的竞争应用已经上线。据 TechCrunch 报道,它还被发现存在巨大的安全漏洞,漏洞“会泄露用户的个人信息,包括驾照照片和其他政府颁发的身份证件……”当我们查看 TeaOnHer 的公共互联网记录时,除了一个子域名 appserver.teaonher.com 之外,没有其他任何有用的信息。当我们在浏览器中打开这个页面时,加载的是 TeaOnHer API 的登录页面(出于好奇,我们在这里上传了一份副本)……正是在这个登录页面上,我们发现了 [TeaOnHer 开发人员 Xavier] Lampkin 的账户暴露的电子邮件地址和明文密码(与“password”相差不大),用于访问 TeaOnHer“管理面板”……这个 API 登录页面包含一个名为 /docs 的端点,其中包含 API 自动生成的文档(由名为 Swagger UI 的产品提供支持),其中包含可在 API 上执行的完整命令列表(包括管理员命令以返回用户数据)……虽然开发人员发布他们的 API 文档并不罕见,但这里的问题在于,某些 API 请求可以在没有任何身份验证的情况下发出——不需要密码或凭据……从 TeaOnHer 服务器返回的记录包含用户在应用程序内的唯一标识符(本质上是一串随机字母和数字)、他们的公开个人资料屏幕名称、自我报告的年龄和位置,以及他们的私人电子邮件地址。这些记录还包含用户驾照照片和相应自拍照的网址链接。更糟糕的是,这些驾照、政府签发的身份证件和自拍照都存储在亚马逊托管的 S3 云服务器中,该服务器设置为任何拥有其网址的人都可以公开访问。这种公开设置允许任何拥有某人身份证件链接的人从任何地方不受限制地打开这些文件……这些漏洞很容易发现,如果没有人在我们之前恶意发现它们,那纯粹是运气好。我们询问了兰普金,但他不愿透露他是否具备日志等技术能力来确定是否有人曾使用(或滥用)该 API 获取用户的验证文件,例如通过从 API 中抓取网址。自从我们向兰普金报告以来,该 API 的登陆页面及其文档页面已被下架,现在它只显示运行 TeaOnHer API 的服务器状态为“健康”。文章指出,这些漏洞是在 TeaOnHer 成为 Apple App Store 中免费应用排名第二时被发现的。虽然这些漏洞“似乎已经得到解决”,但文章指出了一个更大的问题。“劣质代码和安全漏洞凸显了要求用户提交敏感信息才能使用应用和网站所固有的持续隐私风险。”此外,TeaOnHer 还存在另一个身份验证问题。《Cosmopolitan》杂志的一位女记者周五也指出,TeaOnHer“允许你在验证完成之前浏览个人资料。所以实际上任何人(比如我)都可以阅读评论……”
在 Slashdot 上阅读更多内容。