TeaOnHer Uygulamasındaki Güvenlik Açığı: Kullanıcıların Kişisel Bilgileri Ortaya Çıktı
İlişkiler hakkında bilgi paylaşımını amaçlayan bir uygulama olan TeaOnHer’ın, kullanıcılarının kişisel bilgilerini açık internet ortamına sızdırması oldukça ironik.
TeaOnHer, erkeklerin iddia ettikleri kadınlarla ilgili fotoğraflar ve bilgiler paylaşmalarını sağlamak için tasarlanmış bir uygulama. Ancak, kadınlar için tasarlanmış olan benzer bir uygulama olan Tea gibi, TeaOnHer da güvenlik açığı barındırıyor ve kullanıcılarının sürücü belgeleri gibi kişisel bilgilerini açığa çıkarıyor.
Bu tür uygulamalar, kullanıcıların ilişkileri hakkında bilgi paylaşmalarını sağlamak amacıyla oluşturulmuş gibi görünse de, zayıf kodlama ve güvenlik kusurları, kullanıcıların hassas bilgilerini paylaşma gerekliliğinin getirdiği sürekli gizlilik risklerini gözler önüne seriyor.
Bu riskler, popüler uygulamaların ve web servislerinin yaş doğrulama yasalarına uymak zorunda kalmasıyla artacak. Bu yasalar, kullanıcıların erişim izni alabilmeleri için kimlik belgelerini sunmalarını gerektiriyor.
TechCrunch, geçen hafta TeaOnHer’deki güvenlik açıklarını açıkladığında, bulduğumuz hataların detaylarını paylaşmamayı tercih etti. Bunun nedeni, kötü niyetli kişilerin bu hatalardan faydalanmasını engelleme isteğiydi.
Güvenlik açığının açıklanmasının ardından, TeaOnHer uygulaması, Apple App Store’da ücretsiz uygulama sıralamasında ikinci sıradaydı ve bu konumunu hala koruyor.
Güvenlik açıkları, şu an için çözülmüş gibi görünüyor. TechCrunch, kullanıcıların sürücü belgelerine 10 dakika içinde ulaşmamızı sağlayan hataları nasıl bulduğumuzu paylaşabiliyor.
TeaOnHer, ‘admin paneli’ kimlik bilgilerini açığa çıkardı
Uygulamayı indirmeden önce, TeaOnHer’ın internet üzerindeki barındırma yerini bulmak istedik. Bu, uygulamanın kamuya açık altyapısını incelemeyi içeriyordu.
TeaOnHer’ın internet kayıtlarına baktığımızda, yalnızca bir alt alan adı bulabildik: appserver.teaonher.com. Bu sayfayı açtığımızda, TeaOnHer’ın API’sinin ana sayfası yüklendi. Bu sayfada, TeaOnHer’ın ‘admin paneli’ için açık bir e-posta adresi ve şifresi bulundu.
API sayfası, kullanıcı doğrulama sistemi ve kullanıcı yönetimi için kullanılan admin panelinin ‘localhost’ konumunda olduğunu gösteriyordu. Bu durum, internetten doğrudan erişimin olup olmadığı konusunda belirsizlik yarattı.
İki dakika içinde, API sayfasında kullanıcıların kimlik belgelerine ulaşmamızı sağlayacak bir yol bulmuştuk.
TeaOnHer API’si, kimlik doğrulama gerektirmeden kullanıcı verilerine erişime izin veriyor
API sayfasında, kimlik doğrulama gerektirmeyen bazı isteklerin yapılabileceğini gördük. Yani, uygulamanın kullanıcılarına ait verileri almak için herhangi bir şifreye ihtiyaç yoktu.
Örneğin, TeaOnHer’ın kimlik doğrulama kuyruğundaki kullanıcıların listesini almak, sadece API sayfasında bir butona basmak kadar kolaydı. Bu kayıtlar, kullanıcıların sürücü belgeleriyle birlikte özel e-posta adreslerini içeriyordu.
Bu durum, kötü niyetli bir kullanıcının uygulamadan büyük miktarda kullanıcı verisi çekmesine olanak tanıyordu. Tüm bunları, uygulamaya giriş yapmadan sadece 10 dakika içinde keşfetmiştik.
Güvenlik açığının tespit edilmesinin ardından, API sayfası kapatıldı ve artık sadece API’nin çalıştığı sunucunun durumu ‘sağlıklı’ olarak gösteriliyor.
TeaOnHer geliştiricisi, açıkları bildirme çabalarını göz ardı etti
TeaOnHer, o dönemde resmi bir web sitesine sahip olmadığından, TechCrunch, gizlilik politikasında yer alan e-posta adresi üzerinden güvenlik açıklarını bildirmeye çalıştı. Ancak, e-posta adresi bulunamadı.
TechCrunch, Lampkin ile LinkedIn üzerinden iletişime geçti. Lampkin, güvenlik açıklarıyla ilgili bilgileri paylaşmamızı sağlayacak bir e-posta adresi verdi. Ancak, bu e-posta adresiyle yapılan iletişim, güvenlik açıklarının ciddiyetini doğruladıktan sonra, sorularımızın yanıtlanmadığını gösterdi.
Geliştiricilerin, kullanıcı verilerini koruma sorumluluğu olduğunu hatırlamakta fayda var. Eğer kullanıcıların özel verilerini güvence altına alamıyorsanız, bu uygulamayı oluşturmamalısınız.
