Una nueva aplicación diseñada para que los hombres compartan fotos e información sobre mujeres con las que supuestamente han salido está exponiendo datos personales sensibles de sus usuarios, incluyendo identificaciones gubernamentales y selfies.
La aplicación rival de Tea que se volvió viral
TeaOnHer, lanzada esta semana en el App Store de Apple, surge como respuesta directa a la popular aplicación Tea, que permite a las mujeres publicar información sobre hombres con los que han tenido citas. Tea se promociona como una aplicación de seguridad para mujeres con más de 6 millones de usuarios, similar a las redes de Facebook «Are we dating the same guy?».
La aplicación masculina ya ocupa el puesto número 2 entre las aplicaciones de Lifestyle en iOS, e incluso copia el lenguaje de la descripción de Tea en el App Store para su propia presentación.
Fallas de seguridad críticas exponen información sensible
Sin embargo, al igual que la aplicación que busca emular, TeaOnHer contiene graves vulnerabilidades de seguridad.
Los periodistas han identificado al menos una falla de seguridad que permite a cualquier persona acceder a datos de usuarios de TeaOnHer, incluyendo:
- Nombres de usuario y direcciones de email asociadas
- Licencias de conducir subidas por los usuarios
- Selfies de verificación de identidad
- Ubicaciones autorreportadas
Las imágenes de licencias de conducir son accesibles a través de direcciones web públicas, lo que permite que cualquier persona con los enlaces pueda verlas usando su navegador web.
Más de 53,000 usuarios afectados
La vulnerabilidad afecta aproximadamente a 53,000 usuarios registrados al momento de la publicación. Los investigadores también identificaron una segunda falla potencial donde las credenciales de email y contraseña en texto plano del creador de la aplicación, Xavier Lampkin, quedaron expuestas en el servidor, aparentemente otorgando acceso al panel de «administrador» de la aplicación.
Un historial preocupante en aplicaciones similares
Este incidente surge apenas semanas después de que Tea sufriera sus propias violaciones masivas de datos. La semana pasada, usuarios de 4chan descubrieron una base de datos expuesta públicamente que reveló más de 72,000 imágenes, incluyendo miles de selfies y identificaciones fotográficas. Un hackeo posterior expuso más de 1 millón de mensajes privados, obligando a la aplicación a deshabilitar su función de mensajería.
Contenido problemático sin moderación
Más allá de los problemas de seguridad, el contenido dentro de TeaOnHer es preocupante en sí mismo. Aunque la aplicación solicita identificaciones y selfies para verificar identidades – un proceso que no es automático – los usuarios pueden acceder a una vista de «invitado» sin registrarse.
Inmediatamente al abrir la vista de invitado, los periodistas encontraron:
- Múltiples imágenes de la misma mujer desnuda publicadas bajo diferentes nombres
- Publicaciones que comparten fotos y nombres de mujeres junto con comentarios despectivos
- Acusaciones no verificadas sobre comportamientos sexuales
El desarrollador no responde
TeaOnHer fue subida al App Store de iOS por un desarrollador llamado Newville Media Corporation. Según LinkedIn, el fundador y CEO de esta empresa es Xavier Lampkin. Los investigadores identificaron al menos un registro de TeaOnHer asociado con los propios datos de Lampkin.
El creador de la aplicación no respondió a los emails solicitando información sobre cómo reportar las fallas de seguridad.
Clasificaciones alarmantes en las tiendas
A pesar de estos problemas graves, TeaOnHer está clasificada como la aplicación número 17 entre todas las aplicaciones gratuitas, superando a aplicaciones como Instagram, Netflix, Uber y Spotify. Tea actualmente ocupa el puesto número 2.
La situación resalta los riesgos significativos que enfrentan los usuarios al utilizar aplicaciones nuevas sin medidas de seguridad adecuadas, especialmente aquellas que manejan información personal sensible como identificaciones gubernamentales.
