Mengungkap kelemahan keamanan di aplikasi TeaOnHer yang membahayakan data pribadi pengguna.
Pengantar: Kebocoran Data di TeaOnHer
TeaOnHer, aplikasi yang dirancang untuk berbagi informasi tentang siapa yang Anda kencani, ternyata memiliki celah keamanan yang mengekspos informasi pribadi ribuan penggunanya. Aplikasi ini memungkinkan pria untuk berbagi foto dan informasi tentang wanita yang mereka klaim telah mereka kencani. Namun, seperti aplikasi serupa lainnya, TeaOnHer memiliki kelemahan keamanan yang serius, termasuk foto SIM dan dokumen identitas lainnya yang terekspos.
Menelusuri Kelemahan Keamanan
Ketika TechCrunch pertama kali melaporkan masalah ini, kami tidak mempublikasikan detail spesifik dari bug yang kami temukan untuk menghindari penyalahgunaan. Namun, kami memutuskan untuk membagikan informasi terbatas karena popularitas aplikasi yang meningkat dan risiko langsung yang dihadapi pengguna. Dalam waktu kurang dari 10 menit setelah menerima tautan ke aplikasi di App Store, kami menemukan kelemahan yang memungkinkan akses ke SIM pengguna.
Pengembang aplikasi, Xavier Lampkin, tidak menanggapi permintaan komentar setelah kami mengirimkan detail kelemahan keamanan tersebut. Kami juga bertanya apakah ada tinjauan keamanan yang dilakukan sebelum peluncuran aplikasi, tetapi tidak ada jawaban.
Sebelum mengunduh aplikasi, kami mencoba mencari tahu di mana TeaOnHer di-hosting di internet dengan melihat infrastruktur publiknya, seperti situs web dan domainnya. Kami menemukan bahwa kebijakan privasi aplikasi diterbitkan dalam bentuk Google Doc, yang menyertakan alamat email dengan domain teaonher.com, tetapi tidak ada situs web.
Setelah memeriksa catatan DNS publik domain, kami menemukan subdomain tunggal, appserver.teaonher.com. Ketika kami membuka halaman ini di browser, yang muncul adalah halaman landing API TeaOnHer. Di sinilah kami menemukan alamat email dan kata sandi plaintext untuk akun Lampkin yang digunakan untuk mengakses 'admin panel'.
API ini memungkinkan akses tanpa otentikasi ke data pengguna. Halaman dokumentasi API mencakup daftar lengkap perintah yang dapat dilakukan pada API, termasuk membuat pengguna baru dan memverifikasi dokumen identitas pengguna. Masalahnya adalah beberapa permintaan API dapat dilakukan tanpa otentikasi, memungkinkan akses ke data pribadi pengguna.
Misalnya, meminta daftar pengguna yang sedang dalam antrean verifikasi identitas akan mengembalikan puluhan catatan akun, termasuk tautan web yang berisi foto SIM dan selfie pengguna. Foto-foto ini disimpan di server cloud S3 Amazon yang dapat diakses publik.
Dengan pengenal pengguna unik, kami dapat menggunakan halaman API untuk langsung mencari catatan pengguna individu, yang akan mengembalikan data akun dan dokumen identitas terkait. Akses tanpa batas ke API ini memungkinkan pengguna jahat untuk mengumpulkan data pengguna dalam jumlah besar.
Setelah laporan kami, halaman landing API telah dihapus, dan sekarang hanya menampilkan status server sebagai 'sehat'. API sekarang tampaknya mengandalkan otentikasi, dan panggilan sebelumnya tidak lagi berfungsi. Alamat web yang berisi dokumen identitas pengguna juga telah dibatasi dari tampilan publik.
Upaya kami untuk menghubungi pengembang melalui email yang terdaftar di kebijakan privasi gagal karena email tersebut tidak dapat ditemukan. Kami juga mencoba menghubungi Lampkin melalui LinkedIn, tetapi respons yang kami terima tidak memadai.
Setelah berbagi detail kelemahan keamanan, kami tidak mendengar kabar lebih lanjut dari Lampkin. Penting bagi pengembang untuk menjaga data pengguna tetap aman. Jika Anda tidak dapat melakukannya, lebih baik tidak membangun aplikasi tersebut sejak awal.
