TeaOnHer – a férfiaknak szánt rivális
Miközben a Tea a botrány kellős közepén áll, felbukkant egy kifejezetten férfiaknak szóló új randitanácsadó és véleményalkalmazás, TeaOnHer néven. Riasztó módon, a TeaOnHer indulását azonnali és súlyos adatvédelmi hibák kísérték. Néhány perc alatt kiderült: a felhasználók személyes adatai, köztük jogosítványról vagy más hivatalos okmányról készült fotók, önarcképek, e-mail-címek teljesen nyilvánosak voltak – bárki számára elérhetőek, mindenfajta korlátozás nélkül.
Nem védett API – minden kint hevert
Az alkalmazás szerveroldali felülete, vagyis az API dokumentációja egyszerű böngészéssel is elérhető volt, benne a fejlesztő adminisztrátori e-mail-címével és jelszavával. Ennél is súlyosabb, hogy több API-parancs végrehajtásához semmilyen hitelesítés nem kellett: jelszó és jogosultság nélkül is lekérhetők voltak a felhasználói adatok, köztük az azonosítók, becenevek, életkor, tartózkodási hely, sőt, közvetlen linkek vezettek a felhasználók igazolványfotóihoz és önarcképéhez.
Teljes hozzáférés egy kattintásra
A képeket az Amazon S3 nyilvános felhőjében tárolták, így bárki – akinek megvolt a webcím – letölthette ezeket. A hibát olyan könnyű volt megtalálni, hogy szinte csak szerencse, ha addig nem fedezték fel rossz szándékúak. Az app fejlesztője, Xavier Lampkin nem válaszolt arra, hogy naplókból visszakereshető-e, ki és mikor használta jogosulatlanul az API-t. A hibák jelentése után ugyan lekapcsolták az API oldalát, de ez már csak a botrány kitörése után történt meg.
Még amikor „javították”, akkor is kamu volt a biztonság
A TeaOnHer még hibásan is felkerült az Apple App Store toplistájának második helyére. Bár a feltárt hibákat elvileg javították, a történet rámutat, mennyire veszélyes, ha egy alkalmazás a személyes adatok (például jogosítványfotó) feltöltését kéri. Ráadásul a Cosmopolitan egyik újságírója nőként is regisztrálni tudott, és szabadon böngészhette a profilokat verifikáció nélkül is – vagyis bárki „értékelheti” a felhasználókat, függetlenül a szabályoktól.
