אפליקציית ההכרויות Tea מדליפה 72,000 תמונות משתמשים ותעודות זהות בהפרת חומת האבטחה החמורה

נפילת מידע רצינית הכתה את Tea, אפליקציית הבטיחות בדייטים לנשים שהגיעה לאחרונה לראש מדרגת ה-App Store.

האקרים מ-4chan גישו למאגר מידע חשוף של Tea, ולאחר מכן התחילו לשתף באינטרנט תמונות סלפי ותמונות זהות של משתמשים, כפי שדווח לראשונה על ידי 404Media.

הפריצה הייתה אפשרית בזכות מסד נתונים של Google Firebase שלא הוגן אותו באופן מאובטח, שנעשה בו שימוש על ידי Tea. "כן, אם שלחתם לאפליקציית Tea את הפנים שלכם ואת רישיון הנהיגה שלכם, הם חשפו אתכם באופן פומבי! ללא אימות, ללא שום דבר. זהו דלי פומבי," כתב פוסט ב-4chan, כך דיווחה 404Media.

לפוסט נוסף, "רישיונות נהיגה ותמונות פנים! הכנסו פה מהר לפני שהם סוגרים את זה!"

טי (Tea) אישרה את הפריצה ל-404 מדיה, ואמרה שהיא השפיעה על מידע ישן מיותר משנתיים וכללה 72,000 תמונות, 13,000 סלפי ותעודות זהות בתמונות, ו-59,000 תמונות אחרות מהודעות ופוסטים.

"המידע הזה היה מאוחסן מקורית בהתאם לדרישות כוח החוק בנוגע למניעת התקפה סיברנטית," הסבירה החברה.

גם המידע שנדלף כולל הודעות ישירות. 404 מדיה אימתה את החשיפה על ידי הפיצול של אפליקציית האנדרואיד ואיתור כתובת האחסון אותה שותפו ב-4chan.

"התמונות בדלי הן גולמיות ולא מצונזרות", כתב משתמש אחד. משתמשים אחרים ב-4chan אף יצרו סקריפטים לאיסוף אוטומטי של המידע שנדלף.

תהליך האימות של Tea מחייב משתמשות להעלות תמונת סלפי ותמונת תעודה כדי לאשר את זהותן הנשית לפני הצטרפותן לפלטפורמה. הפלטפורמה מאפשרת לנשים לשתף אזהרות אנונימיות על גברים דרך מערכת שפועלת באופן דומה לקבוצות בפייסבוק "האם אנחנו יוצאות עם אותו הגבר?".

לאחר שגילתה את הפריצה, חברת Tea הודיעה כי היא עובדת עם מומחי אבטחת מידע ואמרה בדוא"ל ל-404Media ש, "הגנה על פרטיות המשתמשות ונתוניהן היא העדיפות הגבוהה ביותר שלנו".

404Media מעידה שהשרשור המקורי ב-4chan כבר הוסר, אך גרסאות מאוחסנות ממשיכות להיות בתנועה.