A aplicação TeaOnHer, criada para homens compartilharem fotos e informações sobre mulheres que supostamente namoraram, está exposta os dados pessoais de seus usuários, incluindo identificações governamentais e selfies. A TechCrunch confirmou que a plataforma泄露了这些信息.
Lançada recentemente na Apple App Store, o aplicativo é uma resposta à app Tea, que permite mulheres postarem sobre os homens com quem namoram. Enquanto a Tea é anunciada como um app de segurança para mulheres com mais de 6 milhões de usuários, ela mesma enfrentou críticas por permitir que as mulheres publiquem afirmações não verificadas.
A repercussão em torno da Tea escalou recentemente após o relatório de que usuários do 4chan retaliaram descobrindo uma base de dados publicamente exposta pertencente ao app, revelando mais de 72.000 imagens, incluindo milhares de selfies e fotos de identificação enviadas para a verificação de conta. Um ataque hacker subsequente expôs mais de 1 milhão de mensagens privadas enviadas via o aplicativo, levando à desativação da função de messaging.
Enquanto isso, a TeaOnHer, que aparece como número 2 entre os apps de Lifestyle na iOS App Store, parece ser uma réplica direta do app rival, inclusive copiando o texto da descrição da loja para iPhones em seu próprio listagem. No entanto, assim como a Tea, ela também possui vulnerabilidades de segurança.
A TechCrunch identificou ao menos um erro de segurança que permite que qualquer pessoa tenha acesso aos dados dos usuários do TeaOnHer, incluindo usernames, endereços de email, licenças de motorista e selfies. As imagens das CNHs são endereços públicos na web, permitindo que alguém com o link as acesse através de seu navegador.
Aqui está uma visão geral dos problemas identificados:
- Exposição de Dados Pessoais: Os dados incluem usernames, emails e até licenças de motorista. Em um exemplo, a TechCrunch viu uma lista de postagens compartilhadas no TeaOnHer acompanhadas pelos endereços de email, nomes de display e localizações relatadas dos usuários.
- Segurança dos Dados: A equipe da TechCrunch decidiu não divulgar todos os detalhes das vulnerabilidades para evitar ajudar atores maliciosos a acessarem os dados. O desenvolvedor do app, Xavier Lampkin (foundador da Newville Media Corporation), não respondeu aos emails enviados pela TechCrunch.
- Exposição de Credenciais: A TechCrunch identificou uma segunda vulnerabilidade potencial, onde um endereço de email e senha em texto simples pertencente ao criador do app foram encontrados expostos no servidor. Essas credenciais parecem conceder acesso à "painel administrativo".
Além das falhas de segurança, o conteúdo dentro do TeaOnHer também é preocupante. Enquanto o app pede IDs e selfies dos usuários para verificar suas identidades (processo que não é automático), os usuários podem acessar uma "visão de convidado" sem precisar entrar.
Quando aberto, o modo de visitante imediatamente exibe várias imagens de uma mesma mulher nua, postadas com nomes diferentes em forma de spam. Não está claro se essa mulher consentiu que a foto fosse compartilhada. Outros posts incluem fotos e nomes de mulheres, acompanhados por comentários chamando-as de "fáceis" ou acusando-as de espalhar doenças sexualmente transmissíveis.
Apesar dessas preocupações, o TeaOnHer é classificado número 17 entre todos os apps gratuitos na App Store, superando até mesmo apps como Instagram, Netflix, Uber e Spotify. Enquanto isso, a concorrente Tea permanece em segundo lugar.
