English
En una irónica vuelta del destino, una aplicación de chismes para citas llamada TeaOnHer—creada para que hombres compartieran detalles sobre mujeres con las que aseguran haber salido—terminó “derramando” algo mucho más grave: miles de documentos de identificación personal de usuarios, expuestos públicamente en internet.
TeaOnHer, al igual que la aplicación enfocada en mujeres “Tea” que buscaba imitar, presentaba fallas graves de seguridad que permitían a cualquier persona acceder a datos sumamente sensibles. Entre los archivos expuestos había fotografías de identificaciones oficiales, como licencias de conducir, junto con información personal como nombres, edades, ubicaciones y direcciones de correo electrónico.
Estas aplicaciones suelen promocionarse como plataformas para “proteger a la comunidad”, pero sus malas prácticas de programación y la ausencia de controles de seguridad adecuados demuestran lo peligroso que es exigir a los usuarios que suban documentos delicados. El riesgo es aún mayor ahora que cada vez más aplicaciones comienzan a cumplir con leyes de verificación de edad que requieren el envío de identificaciones oficiales, creando enormes y atractivas bases de datos para los ciberdelincuentes.
Del enlace de descarga a la filtración de datos en 10 minutos
Cuando recibimos por primera vez el enlace a la ficha de TeaOnHer en la App Store, tomó menos de 10 minutos encontrar los datos expuestos—sin siquiera crear una cuenta.
El proceso comenzó identificando la infraestructura de la aplicación. La política de privacidad de TeaOnHer (alojada como un documento público en Google Docs) incluía una dirección de correo en el dominio teaonher.com, lo que nos llevó al subdominio appserver.teaonher.com. Al abrir esta URL, se reveló la página pública del API de la aplicación—y, sorprendentemente, credenciales del panel de administración escritas en texto plano.
La documentación del API, impulsada por Swagger UI, mostraba abiertamente todos los endpoints disponibles tanto para usuarios regulares como para administradores. Lo peor: algunos endpoints no requerían autenticación alguna, lo que significaba que cualquiera podía ejecutar consultas para obtener datos privados directamente del backend.
Al hacer clic en uno de estos endpoints, pudimos acceder a docenas de registros de verificación de usuarios, incluyendo enlaces directos a fotos de documentos de identidad almacenadas en Amazon S3. Estos archivos tenían permisos públicos, lo que permitía a cualquier persona descargarlos sin restricción alguna.
El alcance de la filtración
Los datos expuestos incluían:
- ID únicos de usuario e información de perfil
- Direcciones de correo electrónico privadas
- Edades y ubicaciones autodeclaradas
- Escaneos en alta resolución de licencias de conducir y documentos oficiales
- Selfies enviados para verificación de identidad
Con un acceso tan directo al API, un atacante malintencionado podría extraer toda la base de datos en cuestión de minutos, obteniendo identificaciones para robo de identidad o fraude.
Respuesta del desarrollador
Los intentos por notificar de manera responsable estas vulnerabilidades al desarrollador de TeaOnHer, Xavier Lampkin, se toparon con correos rebotados, respuestas tardías y negación inicial. Incluso después de recibir pruebas claras—incluyendo su propia información personal—no hubo confirmación de que se notificara a los usuarios o a las autoridades.
Tras la divulgación, la documentación del API fue retirada, se implementaron requisitos de autenticación y se bloqueó el acceso público al bucket de S3. Sin embargo, se desconoce si hubo accesos no autorizados antes de aplicar estas correcciones.
Lecciones aprendidas
Este incidente reafirma una verdad recurrente en ciberseguridad: si no puedes proteger datos sensibles de los usuarios, no deberías recolectarlos. Tanto si eres un desarrollador independiente como una gran empresa, almacenar identificaciones oficiales requiere pruebas de seguridad rigurosas, controles de acceso adecuados y prácticas de almacenamiento seguro.
En un mundo donde los datos personales son uno de los bienes más valiosos, una seguridad débil no es solo un fallo técnico: es una ruptura de la confianza del usuario.Cybersecurity is everyone’s responsibility, and exposing vulnerabilities can prevent far greater harm.
