Scoperta di TeaOnHer: rivelazione rapida delle patente degli utenti in meno di 10 minuti
Accesso Non Autorizzato ai Dati degli Utenti
Dopo aver identificato dove fosse ospitata TeaOnHer, abbiamo notato che la privacy policy dell’app era ospitata su un Google Doc, contenente un’email con un dominio teaonher.com, ma senza un sito web ufficiale accessibile. L’analisi dei record DNS pubblici ha rivelato un solo sottodominio: appserver.teaonher.com.
Accedendo a questo sottodominio, ci siamo imbattuti nella landing page dell’API di TeaOnHer. Qui abbiamo trovato un’email e una password in chiaro che consentivano l’accesso a un pannello di amministrazione. Il sistema, incaricato di gestire la verifica dei documenti e degli utenti, mostrava informazioni potenzialmente accessibili a malintenzionati.
About The Author
