Tea снова слил женские тайны. Второй раз за неделю. И теперь всё стало гораздо хуже…
NewsMakerЛичные признания, измены, аборты — и всё это теперь доступно каждому.
История с приложением Tea, которое позиционирует себя как безопасное пространство для женщин, обернулась уже второй масштабной утечкой за неделю — и на этот раз всё гораздо серьёзнее. Независимый специалист по информационной безопасности обнаружил , что через уязвимость в API можно было получить доступ к огромной базе данных с личной перепиской пользователей, включая обсуждения абортов, измен, телефонов и иных данных, которые люди считали строго конфиденциальными. Вдобавок, по его словам, существовала возможность рассылки push-уведомлений всем зарегистрированным.
Хотя ранее представители Tea уверяли, что инцидент затронул лишь «устаревшее хранилище данных двухлетней давности», новая проблема касается совсем свежей информации — сообщения доходят до июля 2025 года. Исследователь передал журналистам из 404 Media копию базы, содержащей более 1,1 миллиона сообщений, а их подлинность подтвердили: имена пользователей из дампа уже заняты, и зарегистрировать на них новые аккаунты невозможно.
Tea стремится создать площадку, где женщины могут делиться друг с другом информацией о мужчинах — для предупреждения рисков при знакомствах. Чтобы вступить в сообщество, нужно подтвердить свою женскую идентичность с помощью селфи. Но сам подход к безопасности оказался вопиюще небрежным. Переписка, которую пользователи считали приватной, оказалась легкодоступной, а в некоторых случаях содержала как номера телефонов, так и ссылки на социальные сети, что позволяло без труда установить настоящие имена пользователей.
Разговоры в сообщениях — это не просто тривиальные обсуждения. Среди них: откровения об абортах, разоблачения двойной жизни партнёров, совпадения между женщинами, которые встречаются с одним и тем же мужчиной. Один из примеров — сообщение от женщины, которая пишет другой, что обнаружила мужа в этом приложении. В другом — невеста пытается выяснить, верен ли ей жених. В одном из чатов пользователи даже сравнивают автомобили партнёра, чтобы проверить, идёт ли речь об одном и том же человеке.
В отличие от первой утечки, вызванной незащищённым экземпляром Firebase и затронувшей десятки тысяч фотографий и документов, текущая проблема позволяла любому обладателю пользовательского API-ключа получить доступ к актуальной базе. Уязвимость была закрыта только в конце прошлой недели.
Кроме чтения сообщений, на основе полученных данных участники 4chan создали целую систему публичного ранжирования женщин — пользователям предлагалось выбирать, кто «выглядит привлекательнее» на селфи из приложения. Эти изображения и фотографии удостоверений личности превратились в материал для насмешек и домогательств. Некоторые из снимков были оценены десятки тысяч раз.
Tea утверждает, что активно расследует инцидент при поддержке сторонних специалистов и взаимодействует с правоохранительными органами. Однако, учитывая чувствительность затронутых данных и контекст использования приложения, ущерб, нанесённый приватности женщин, может оказаться необратимым.
История с приложением Tea, которое позиционирует себя как безопасное пространство для женщин, обернулась уже второй масштабной утечкой за неделю — и на этот раз всё гораздо серьёзнее. Независимый специалист по информационной безопасности обнаружил , что через уязвимость в API можно было получить доступ к огромной базе данных с личной перепиской пользователей, включая обсуждения абортов, измен, телефонов и иных данных, которые люди считали строго конфиденциальными. Вдобавок, по его словам, существовала возможность рассылки push-уведомлений всем зарегистрированным.
Хотя ранее представители Tea уверяли, что инцидент затронул лишь «устаревшее хранилище данных двухлетней давности», новая проблема касается совсем свежей информации — сообщения доходят до июля 2025 года. Исследователь передал журналистам из 404 Media копию базы, содержащей более 1,1 миллиона сообщений, а их подлинность подтвердили: имена пользователей из дампа уже заняты, и зарегистрировать на них новые аккаунты невозможно.
Tea стремится создать площадку, где женщины могут делиться друг с другом информацией о мужчинах — для предупреждения рисков при знакомствах. Чтобы вступить в сообщество, нужно подтвердить свою женскую идентичность с помощью селфи. Но сам подход к безопасности оказался вопиюще небрежным. Переписка, которую пользователи считали приватной, оказалась легкодоступной, а в некоторых случаях содержала как номера телефонов, так и ссылки на социальные сети, что позволяло без труда установить настоящие имена пользователей.
Разговоры в сообщениях — это не просто тривиальные обсуждения. Среди них: откровения об абортах, разоблачения двойной жизни партнёров, совпадения между женщинами, которые встречаются с одним и тем же мужчиной. Один из примеров — сообщение от женщины, которая пишет другой, что обнаружила мужа в этом приложении. В другом — невеста пытается выяснить, верен ли ей жених. В одном из чатов пользователи даже сравнивают автомобили партнёра, чтобы проверить, идёт ли речь об одном и том же человеке.
В отличие от первой утечки, вызванной незащищённым экземпляром Firebase и затронувшей десятки тысяч фотографий и документов, текущая проблема позволяла любому обладателю пользовательского API-ключа получить доступ к актуальной базе. Уязвимость была закрыта только в конце прошлой недели.
Кроме чтения сообщений, на основе полученных данных участники 4chan создали целую систему публичного ранжирования женщин — пользователям предлагалось выбирать, кто «выглядит привлекательнее» на селфи из приложения. Эти изображения и фотографии удостоверений личности превратились в материал для насмешек и домогательств. Некоторые из снимков были оценены десятки тысяч раз.
Tea утверждает, что активно расследует инцидент при поддержке сторонних специалистов и взаимодействует с правоохранительными органами. Однако, учитывая чувствительность затронутых данных и контекст использования приложения, ущерб, нанесённый приватности женщин, может оказаться необратимым.