Предупредила подруг о маньяке? Поздравляем, теперь он знает, где ты живешь
NewsMakerСервис для защиты женщин слил их паспорта, селфи и переписки на потеху 4chan.
Приложение Tea, созданное для обмена информацией о мужчинах и повышения безопасности женщин на свиданиях, оказалось в центре скандала после сообщений на 4chan о незащищённой базе данных на Firebase от Google. По утверждениям пользователей форума, в открытом хранилище находились селфи, фотографии удостоверений личности, переписки и другие личные материалы. Скриншоты, обсуждения и опубликованный код подтверждают, что участницы форума не только просматривали, но и массово скачивали эту информацию, выкладывая её в публичный доступ.
«Да, если ты отправляла в Tea App своё лицо и водительское удостоверение — тебя публично задоксили ! Никакой аутентификации, ничего. Это просто публичный бакет», — говорится в одном из сообщений на 4chan, сопровождающем ссылку на уязвимость. Далее в посте прямо указано: «DRIVERS LICENSES AND FACE PICS! GET THE F**K IN HERE BEFORE THEY SHUT IT DOWN!» («ПРАВА И ФОТКИ ЛИЦ! ****** СЮДА, ПОКА НЕ ЗАКРЫЛИ!»). По словам авторов постов, получить доступ к материалам мог любой — авторизация не требовалась, а изображения хранились без какой-либо маскировки или защиты.
Некоторые пользователи создали автоматизированные скрипты для сбора файлов — в обсуждениях публиковали фрагменты кода и результаты работы сканеров. Согласно пользовательскому соглашению Tea, при регистрации приложение запрашивает имя, геолокацию, дату рождения, а также загруженные фотографии и снимки удостоверений личности.
После публикации расследования компания признала утечку и направила официальный комментарий в редакцию 404 Media. По её словам, 26 июля был зафиксирован «несанкционированный доступ к одной из систем», после чего началась внутренняя проверка. Компания уточнила, что пострадали архивные материалы, собранные более двух лет назад. В утёкшей базе оказалось около 72 000 изображений, включая 13 000 селфи и ID-фото, а также 59 000 снимков из сообщений и публикаций внутри приложения.
Разработчики заявили, что эти данные хранились «для соответствия требованиям правоохранительных органов по борьбе с кибербуллингом». По их словам, компания привлекла внешних специалистов по информационной безопасности и сейчас «работает круглосуточно», чтобы устранить последствия инцидента. Также в заявлении подчёркивается, что на данный момент нет признаков компрометации актуальных или дополнительных пользовательских данных. «Защита конфиденциальности наших пользователей остаётся для нас наивысшим приоритетом. Мы предпринимаем все необходимые меры для обеспечения безопасности платформы и предотвращения новых инцидентов».
Несмотря на произошедшее, приложение стремительно набирает популярность: за последние дни оно возглавило рейтинги App Store, а база пользователей превысила 1,6 миллиона. Сервис подтверждает гендерную принадлежность новых участниц через селфи и позиционирует себя как пространство, где женщины могут делиться опытом общения с потенциально опасными мужчинами.
Приложение Tea, созданное для обмена информацией о мужчинах и повышения безопасности женщин на свиданиях, оказалось в центре скандала после сообщений на 4chan о незащищённой базе данных на Firebase от Google. По утверждениям пользователей форума, в открытом хранилище находились селфи, фотографии удостоверений личности, переписки и другие личные материалы. Скриншоты, обсуждения и опубликованный код подтверждают, что участницы форума не только просматривали, но и массово скачивали эту информацию, выкладывая её в публичный доступ.
«Да, если ты отправляла в Tea App своё лицо и водительское удостоверение — тебя публично задоксили ! Никакой аутентификации, ничего. Это просто публичный бакет», — говорится в одном из сообщений на 4chan, сопровождающем ссылку на уязвимость. Далее в посте прямо указано: «DRIVERS LICENSES AND FACE PICS! GET THE F**K IN HERE BEFORE THEY SHUT IT DOWN!» («ПРАВА И ФОТКИ ЛИЦ! ****** СЮДА, ПОКА НЕ ЗАКРЫЛИ!»). По словам авторов постов, получить доступ к материалам мог любой — авторизация не требовалась, а изображения хранились без какой-либо маскировки или защиты.
Некоторые пользователи создали автоматизированные скрипты для сбора файлов — в обсуждениях публиковали фрагменты кода и результаты работы сканеров. Согласно пользовательскому соглашению Tea, при регистрации приложение запрашивает имя, геолокацию, дату рождения, а также загруженные фотографии и снимки удостоверений личности.
После публикации расследования компания признала утечку и направила официальный комментарий в редакцию 404 Media. По её словам, 26 июля был зафиксирован «несанкционированный доступ к одной из систем», после чего началась внутренняя проверка. Компания уточнила, что пострадали архивные материалы, собранные более двух лет назад. В утёкшей базе оказалось около 72 000 изображений, включая 13 000 селфи и ID-фото, а также 59 000 снимков из сообщений и публикаций внутри приложения.
Разработчики заявили, что эти данные хранились «для соответствия требованиям правоохранительных органов по борьбе с кибербуллингом». По их словам, компания привлекла внешних специалистов по информационной безопасности и сейчас «работает круглосуточно», чтобы устранить последствия инцидента. Также в заявлении подчёркивается, что на данный момент нет признаков компрометации актуальных или дополнительных пользовательских данных. «Защита конфиденциальности наших пользователей остаётся для нас наивысшим приоритетом. Мы предпринимаем все необходимые меры для обеспечения безопасности платформы и предотвращения новых инцидентов».
Несмотря на произошедшее, приложение стремительно набирает популярность: за последние дни оно возглавило рейтинги App Store, а база пользователей превысила 1,6 миллиона. Сервис подтверждает гендерную принадлежность новых участниц через селфи и позиционирует себя как пространство, где женщины могут делиться опытом общения с потенциально опасными мужчинами.