When TechCrunch published our story last week, we did not publish specific details of the bugs we discovered in TeaOnHer, erring on the side of caution so as to not help bad actors exploit the bug. Alih-alih,
Baiklah, mulailah jam.
untuk menemukan situs web aplikasi. Ini biasanya dapat ditemukan dalam kebijakan privasi, yang harus dimasukkan oleh aplikasi sebelum Apple akan mencantumkannya. (The app listing also claims the developer “does not collect any data from this app,” which is demonstrably false, so take that as you will.)
teaonher.com domain, tetapi tidak ada situs web.
The website wasn't public at the time, so with no website loading, we looked at the domain's public-facing DNS records, which can help to identify what else is hosted on the domain, such as the type of email servers or web hosting. Kami juga ingin mencari subdomain publik yang mungkin digunakan pengembang untuk meng -host fungsionalitas untuk aplikasi (atau meng -host sumber daya lain
appserver.teaonher.com.
). API hanya memungkinkan hal -hal di Internet untuk berkomunikasi satu sama lain, seperti menautkan aplikasi ke database pusatnya.
The API page showed that the admin panel, used for the document verification system and user management, was located at “localhost,” which simply refers to the physical computer running the server and may not have been directly accessible from the internet. Tidak jelas apakah ada yang bisa menggunakan kredensial untuk mengakses panel admin, tetapi ini sendiri merupakan temuan yang cukup mengkhawatirkan.
Kalau tidak, halaman pendaratan API tidak melakukan banyak hal selain menawarkan beberapa indikasi tentang apa yang dapat dilakukan API. The page listed several API endpoints, which the app needs to access in order to function, such as retrieving user records from TeaOnHer's database, for users to leave reviews, and sending notifications.
Dengan pengetahuan tentang titik akhir ini, mungkin lebih mudah untuk berinteraksi dengan API secara langsung, seolah -olah kita meniru aplikasi itu sendiri. Every API is different, so learning how an API works and how to communicate with one can take time to figure out, such as which endpoints to use and the parameters needed to effectively speak its language. Apps like Postman can be helpful for accessing and interacting directly with APIs, but this requires time and a certain degree of trial and error (and patience) to make APIs spit out data when they shouldn't.
Tetapi dalam hal ini, ada cara yang lebih mudah.
Termasuk halaman pendaratan API ini titik akhir dipanggil /docs
The records returned from TeaOnHer's server contained users' unique identifiers within the app (essentially a string of random letters and numbers), their public profile screen name, and self-reported age and location, along with their private email address. Catatan juga termasuk tautan alamat web yang berisi foto -foto lisensi pengemudi pengguna dan selfie yang sesuai.
Worse, these photos of driver's licenses, government-issued IDs, and selfies were stored in an Amazon-hosted S3 cloud server set as publicly accessible to anyone with their web addresses. Pengaturan publik ini memungkinkan siapa pun dengan tautan ke dokumen identitas seseorang membuka file dari mana saja tanpa batasan.
With that unique user identifier, we could also use the API page to directly look up individual users' records, which would return their account data and any of their associated identity documents. Dengan akses tanpa hambatan ke API, pengguna jahat dapat mengikis sejumlah besar data pengguna dari aplikasi, seperti apa yang terjadi dengan aplikasi teh untuk memulai.
Dari kacang ke cangkir, itu sekitar 10 menit, dan kami bahkan belum masuk ke aplikasi. Bug itu sangat mudah untuk menemukan bahwa itu akan menjadi keberuntungan semata -mata jika tidak ada orang jahat yang menemukan mereka sebelum kita melakukannya.
In the days since our report to Lampkin, the API landing page has been taken down, along with its documentation page, and it now displays only the state of the server that the TeaOnHer API is running on as “healthy.” Setidaknya pada tes sepintas, API sekarang tampaknya mengandalkan otentikasi, dan panggilan sebelumnya yang dilakukan menggunakan API tidak lagi berfungsi.
Alamat web yang berisi dokumen identitas yang diunggah pengguna juga telah dibatasi dari pandangan publik.
Pengembang Teaonher menolak upaya untuk mengungkapkan cacat
Tetapi email bangkit kembali dengan kesalahan yang mengatakan alamat email tidak dapat ditemukan. We also tried contacting Lampkin through the email address on his website, Newville Media, but our email bounced back with the same error message.
TechCrunch mencapai Lampkin melalui pesan LinkedIn, memintanya untuk memberikan alamat email di mana kami dapat mengirim rincian kekurangan keamanan. Lampkin menanggapi dengan alamat email “dukungan” umum.
Ketika TechCrunch mengungkapkan cacat keamanan, kami menjangkau untuk mengkonfirmasi terlebih dahulu bahwa seseorang atau perusahaan adalah penerima yang benar. Kalau tidak, mengirimkan detail bug keamanan secara membabi buta kepada orang yang salah dapat membuat risiko. Before sharing specific details of the flaws, we asked the recipient of the “support” email address if this was the correct address to disclose a security exposure involving TeaOnHer user data.
“Anda harus membuat kami bingung dengan 'aplikasi teh',” jawab Lampkin melalui email. (Kami belum.) “Kami tidak memiliki pelanggaran keamanan atau kebocoran data,” katanya. (Itu benar.) “Kami memiliki beberapa bot paling banyak tetapi kami belum cukup besar untuk berada dalam percakapan itu, maaf Anda salah informasi.” (Kami tidak.)
“Terima kasih atas informasi ini. Ini sangat memprihatinkan. Kami akan melompat pada ini sekarang,” kata Lampkin.
Meskipun beberapa email tindak lanjut, kami belum mendengar dari Lampkin karena kami mengungkapkan kekurangan keamanan.
Tidak masalah jika Anda adalah toko perangkat lunak satu orang atau getaran miliarder yang dikodekan sepanjang akhir pekan: Pengembang masih memiliki tanggung jawab untuk menjaga data penggunanya tetap aman. Jika Anda tidak dapat menjaga keamanan data pribadi pengguna Anda, jangan bangun untuk memulai.
Jika Anda memiliki bukti aplikasi populer atau layanan yang membocorkan atau mengekspos informasi, hubungi. Anda dapat dengan aman menghubungi reporter ini melalui pesan terenkripsi di Zackwhittaker.1337 pada sinyal.
