Entrada

Una aplicación rival de té para hombres está filtrando los datos personales y las licencias de conducir de sus usuarios.

Publicado
Por TheCodic
4 min de lectura

a screenshot of the TeaOnHer logo on an orange-ish background.

Créditos de la imagen: TeaOnHer (modificada)

TeaOnHer, una aplicación diseñada para que los hombres compartan fotos y información sobre mujeres con las que supuestamente han salido, ha expuesto la información personal de los usuarios, incluyendo documentos de identidad y selfies, según puede confirmar TechCrunch.

La aplicación, que se lanzó en la App Store de Apple a principios de esta semana, es una respuesta a otra aplicación viral llamada Tea, que permite a las mujeres publicar sobre los hombres con los que salen. Tea se promociona como una aplicación de seguridad para mujeres con más de seis millones de usuarios, similar a las redes de Facebook como “¿Estamos saliendo con el mismo chico?” Sin embargo, la aplicación es controvertida, ya que muchas de las afirmaciones que las mujeres publican no pueden verificarse.

La controversia que rodea a Tea aumentó la semana pasada, después de que 404 Media informara que los usuarios de 4chan descubrieron una base de datos expuesta públicamente perteneciente a la aplicación, que reveló más de 72.000 imágenes, incluyendo miles de selfies y fotos de identificación presentadas para la verificación de cuentas. Un hack subsiguiente expuso más de un millón de mensajes privados enviados a través de la aplicación, lo que llevó a la aplicación a deshabilitar su función de mensajería.

TeaOnHer, que ahora ocupa el segundo lugar entre las aplicaciones de estilo de vida en iOS, parece ser una respuesta directa a la aplicación Tea, incluso copiando el lenguaje de la descripción de la tienda de aplicaciones de Tea en su propia lista.

Sin embargo, como la aplicación que buscó emular, TeaOnHer contiene fallos de seguridad propios.

TechCrunch ha encontrado al menos un fallo de seguridad que permite a cualquier persona acceder a los datos de los usuarios de TeaOnHer, incluyendo sus nombres de usuario y direcciones de correo electrónico asociadas, así como licencias de conducir y selfies que los usuarios subieron a TeaOnHer. Las imágenes de estas licencias de conducir están disponibles en direcciones web públicas, lo que permite a cualquier persona con los enlaces acceder a ellas utilizando un navegador web.

En un caso, TechCrunch vio una lista de publicaciones compartidas en TeaOnHer con el correo electrónico, el nombre de pantalla y la ubicación autoinformada de cada usuario.

TechCrunch está omitiendo algunos detalles de los errores para no ayudar a actores maliciosos a acceder a los datos de nadie. La empresa que desarrolló la aplicación no respondió a los correos electrónicos de TechCrunch preguntando a quién podemos informar sobre los fallos. Por lo tanto, TechCrunch está publicando este informe con detalles limitados del problema, dados la popularidad actual de la aplicación y el riesgo asociado con su uso.

TeaOnHer fue subido a la App Store de iOS por un desarrollador llamado Newville Media Corporation. Según LinkedIn, el fundador y CEO de esta empresa es Xavier Lampkin.

TechCrunch identificó al menos un registro de TeaOnHer asociado con los datos de Lampkin.

El fallo de seguridad afectará a cualquier usuario que se haya suscrito o haya compartido documentos de identidad con la aplicación. El error también expone el número de usuarios de la aplicación TeaOnHer, que es de aproximadamente 53.000 usuarios al momento de la publicación.

TechCrunch también identificó un posible segundo problema de seguridad, en el cual una dirección de correo electrónico y una contraseña en texto plano pertenecientes al creador de la aplicación, Lampkin, quedaron expuestas en el servidor. Las credenciales parecen otorgar acceso al panel “admin” de la aplicación. TechCrunch no utilizó las credenciales, ya que hacerlo sería ilegal, pero destaca los riesgos de dejar expuestas las credenciales de administrador en la web.

Además de sus fallos de seguridad, el contenido que se muestra en TeaOnHer es preocupante por sí mismo. Aunque la aplicación solicita identificaciones y selfies de sus usuarios para verificar sus identidades — un proceso que no es automático — los usuarios pueden acceder a una “vista de invitado” de la aplicación sin registrarse.

Inmediatamente al abrir la “vista de invitado”, TechCrunch vio varias imágenes de la misma mujer desnuda, publicadas bajo diferentes nombres en forma de spam. No está claro si esta mujer dio su consentimiento para que esta foto se comparta. Otras publicaciones comparten las fotos y nombres de mujeres, junto con comentarios que las llaman “fáciles” o las acusan de propagar infecciones de transmisión sexual.

En todas las aplicaciones gratuitas, TeaOnHer ocupa el décimo séptimo lugar, por encima de aplicaciones como Instagram, Netflix, Uber y Spotify. Tea está actualmente en el segundo lugar.

Security apple app store cybersecurity data protection Exclusive identity verification know your customer privacy tea
Esta entrada está licenciada bajo CC BY 4.0 por el autor.