Te-dating-app lekker 72 000 brukerbilder og ID-er i stor sikkerhetsbrudd

En alvorlig datalekkasje har rammet Tea, en sikkerhetsapp for dating for kvinner som nylig nådde toppen av App Store.

Hackere på 4chan fikk tilgang til en eksponert database fra Tea, og begynte senere å dele brukernes selfies og ID-bilder på nettet, som først ble rapportert av 404Media.

Brølet var mulig på grunn av en usikret Google Firebase database brukt av Tea. “Ja, hvis du sendte Tea App ansiktet ditt og førerkortet ditt, doxxet de deg offentlig! Ingen autentisering, ingen ingenting. Det er en offentlig bøtte,” står det i et 4chan-innlegg, rapporterer 404Media.

Det ble lagt til, “FØRERKORT OG ANSIKTSBILDER! KOM DEG FAEN MEG INN HER FØR DE STENGER DET NED!”

Tea bekreftet bruddet overfor 404 Media, og sa at det påvirket eldre data fra mer enn to år siden og inkluderte 72 000 bilder, 13 000 selfies og bilde-ID-er, samt 59 000 andre bilder fra innlegg og meldinger.

“Disse dataene ble opprinnelig lagret i samsvar med lovens krav til forebygging av nettmobbing,” forklarte selskapet.

Den lekkede dataen inkluderer også direktemeldinger. 404 Media bekreftet eksponeringen ved å dekompilere Android-appen og lokalisere den samme lagrings-URL-en som ble delt på 4chan.

“Bildene i bøtten er rå og usensurerte,” skrev en bruker. Andre på 4chan laget til og med skript for å automatisk samle den lekkede dataen.

Bekreftelsesprosessen for Tea krever at brukere laster opp både en selfie og et ID-bilde for å bekrefte sin kvinnelige identitet før de blir med på plattformen. Plattformen gir kvinner muligheten til å dele anonyme advarsler om menn gjennom et system som fungerer som «Dater vi den samme fyren?» Facebook-grupper.

Etter å ha oppdaget bruddet, uttalte Tea at de jobber med cybersikkerhetseksperter, og sa i en e-post til 404Media at «Å beskytte våre brukeres personvern og data er vår høyeste prioritet.»

404Media bemerker at den opprinnelige 4chan-tråden siden har blitt fjernet, men arkiverte versjoner fortsetter å sirkulere.