Kullanıcılarının kimlerle flört ettiği hakkında bilgi paylaşmalarını sağlayan bir uygulamanın, kendi kullanıcı bilgilerinin sızdırılmasıyla gündeme gelmesi oldukça ironik. TeaOnHer uygulaması, çok sayıda kullanıcının kişisel bilgilerini açık internet ortamında ifşa etti.
TeaOnHer, erkeklerin iddia ettikleri tarihlerle ilgili fotoğraflar ve bilgiler paylaşmalarını amaçlayan bir uygulama olarak tasarlandı. Ancak, Tea adındaki kadınların kullanımına yönelik bir flört- dedikodu uygulamasını taklit etmeye çalışan TeaOnHer, kullanıcılarının sürücü belgeleri gibi resmi kimlik belgelerini içeren bilgileri açığa çıkaracak güvenlik açıklarıyla doluydu. Bu bilgiler, TechCrunch‘ın geçen hafta yayınladığı haberle ortaya çıktı.
Bu tür uygulamalar, kullanıcıların ilişkileri hakkında bilgi paylaşmalarını, kişisel güvenlik gerekçesiyle sağladıkları iddiasıyla tasarlanmıştı. Ancak zayıf kodlama ve güvenlik açıkları, kullanıcıların hassas bilgilerini talep eden uygulamaların taşıdığı sürekli gizlilik risklerini gözler önüne seriyor.
Bu riskler giderek artacak; popüler uygulamalar ve web hizmetleri, insanların kimlik belgelerini sunmasını zorunlu kılan yaş doğrulama yasaları ile yüzleşiyor. Oysa bu tür bilgilerin saklanması, gizlilik ve güvenlik risklerini beraberinde getiriyor.
Geçen hafta TechCrunch, TeaOnHer’de keşfettiğimiz hataların spesifik detaylarını yayımlamadı; bu, kötü niyetli kişilerin söz konusu hatalardan yararlanmasını engellemek amacıyla alındı. Daha önce anılan uygulamanın popülaritesi nedeniyle sınırlı bir açıklama yapmayı tercih ettik.
Hatanın kendine özgü etkileri varken, TeaOnHer uygulaması, Apple App Store’daki ücretsiz uygulama sıralamasında ikinci sıradaydı ve bu sıra hâlâ korunuyordu.
TeaOnHer ‘yönetici paneli’ bilgilerini açığa çıkardı
Uygulamayı indirmeden önce, TeaOnHer’in internetteki barındırıldığı alanı araştırmaya karar verdik; bunun için internet üzerindeki altyapısına, web sitesine ve alan adına erişim sağladık.
Bu, genellikle başlangıç için iyi bir yer olmakla birlikte, alanın başka hangi hizmetlerle bağlantılı olduğunu anlamamıza yardımcı oluyor.
Öncelikle, uygulamanın Apple App Store’daki listesini inceledik ve uygulamanın web sitesini bulmaya çalıştık. Bu, genellikle gizlilik politikasında bulunuyor; çünkü Apple, uygulamaları listelemeden önce gizlilik politikasının eklenmesini zorunlu kılıyor. Fakat, uygulama geliştiricisi kullanıcı verisi toplamadıklarını iddia etmesi, gerçeği yansıtmıyor.
TeaOnHer’in gizlilik politikası, bir Google Dokümanı biçiminde yayımlanmıştı ve bu belgede, teaonher.com alanına sahip bir e-posta adresi bulunuyordu, ancak erişilebilir bir web sitesi mevcut değildi.
TeaOnHer API’si kimlik doğrulaması olmadan kullanıcı verilerine erişim sağlıyordu
TeaOnHer’in API’sini taradığımızda bir /docs adında bir uç nokta bulduk. Bu, API’nin otomatik olarak üretilen dökümantasyonunu içeriyordu ve API üzerinde gerçekleştirilebilecek tüm işlemleri gösteriyordu.
Bu dökümantasyon sayfası, kullanıcıların, uygulamanın yöneticileri olarak alabileceği çeşitli komutları listeleyerek uygulama kullanıcıları olarak nasıl etkileşime geçileceğini anlamaya yardımcı oluyordu.
Fakat buradaki problem, bazı API isteklerinin kimlik doğrulaması olmadan gerçekleştirilebilmesiydi. Yani uygulamanın arka ucundaki kullanıcıların özel bilgilerine erişim sağlamak mümkün oluyordu.
Örneğin, TeaOnHer’in kimlik doğrulama sırasındaki kullanıcı listesini talep etmek, uygulamaya yeni kaydolan kişilerin hesaplarını içeren sürü içermekteydi.
Bu veriler, kullanıcıların uygulamadaki benzersiz tanımlayıcılarını, kullanıcı adlarını, kendilerine ait yaş ve konum bilgilerini içeriyordu. Öte yandan, sürücü belgeleri gibi gizli kimlik belgeleri ve bunların kendi selfie’leri de bağlantılıydı.
Kullanıcıların kimlik belgeleri, Amazon’un S3 bulut sunucusunda halka açık olarak erişilebilir durumda tutulmuştu ve bu da herhangi birinin belgeleri açmasına olanak tanıyordu.
TeaOnHer Geliştiricisi Güvenlik Açılarını Duyarma Çabalarını Reddetti
Güvenlik açıklarını bildirdiğimizde TeaOnHer’in resmi bir web sitesi bulunmuyordu; bu nedenle, TechCrunch, gizlilik politikasında listelenen e-posta adresi üzerinden iletişim kurmaya çalıştı ama e-posta geri döndü.
Lampkin ile iletişime geçebilmek adına LinkedIn üzerinden bir mesaj gönderdik. Ancak, bu iletişim de farklı bir e-posta adresine yönlendirerek genel bir destek e-posta adresiyle yanıt aldık.
TechCrunch, güvenlik açığı bildirimlerini doğru kişilere iletebilmek amacıyla bu adresin doğru olup olmadığını sordu, ancak Lampkin “güvenlik ihlali ya da veri sızıntısı yok” diyerek durumu yalanladı.
TechCrunch daha sonra, söz konusu güvenlik açıklarının detaylarını ve bazı sürücü belgesi bağlantılarını paylaşarak durumu ciddiyetle anlatmaya çalıştı. Lampkin, bu durum karşısında “Bunun çok endişe verici olduğunu ifade etti, hemen üzerine gidiyoruz” yanıtını verdi.
Ancak, sonrasında Lampkin’den haber alamadık. Geliştirici, kullanıcılarının verilerini korumak konusunda sorumluluk taşımalı; aksi takdirde böyle bir uygulamayı geliştirmemelidir.
