L’application de sécurité réservée aux femmes Tea est confrontée à une crise de sécurité majeure après que deux violations de données distinctes ont révélé des informations profondément personnelles sur ses utilisateurs, soulignant les vulnérabilités qui peuvent exister même dans les applications commercialisées comme des espaces sûrs pour les femmes.
Quelques jours seulement après la révélation de milliers d’images de vérification d’utilisateurs et d’identifiants provenant d’une base de données existante, un chercheur indépendant a révélé une deuxième vulnérabilité, plus sinistre. Cette faille permettait d’accéder à des messages privés échangés entre utilisateurs, contenant potentiellement des détails sensibles tels que des numéros de téléphone, des discussions sur les relations intimes et même des conversations sur l’avortement.
La chercheuse Kasra Rahjerdi a pu récupérer ces conversations récentes à partir d’une base de données distincte, démontrant l’ampleur de la compromission. La violation a également exposé les fonctionnalités back-end des applications, accordant un accès non autorisé à des outils tels que les notifications push de masse, soulevant des inquiétudes quant à une manipulation ou un harcèlement potentiel.
Ajoutant à l’urgence, Rahjerdi a découvert que cette deuxième vulnérabilité était restée active jusqu’à la semaine dernière, coïncidant avec les rapports faisant état de la fuite de données initiale. Cela suggère une faille de sécurité persistante qui a permis à des informations sensibles de rester exposées pendant une période prolongée.
Alors que Tea avait initialement publié des déclarations concernant la première violation et affirmant qu’aucune donnée actuelle de l’utilisateur n’avait été compromise, sa réponse ultérieure à 404Media reconnaît une enquête plus large impliquant des sociétés externes de cybersécurité et les forces de l’ordre. La société a déclaré : « Nous continuons à travailler rapidement pour contenir l’incident et avons lancé une enquête approfondie avec l’aide de sociétés externes de cybersécurité. Nous avons également contacté les forces de l’ordre et contribuons à leur enquête. »
Cette catastrophe de données souligne l’importance cruciale de mesures de sécurité robustes, en particulier pour les applications conçues pour protéger les informations sensibles. La popularité de l’application Tea a récemment augmenté au milieu d’une vive controverse autour de son rôle perçu de plate-forme « anti-masculine ».
Alors que les débats faisaient rage sur son efficacité et ses biais potentiels, la vulnérabilité exploitée par les pirates informatiques a permis à des acteurs malveillants de cibler directement les utilisatrices. Les données de géolocalisation de la violation initiale ont été utilisées à des fins de doxxing – révélant publiquement des informations personnelles telles que des adresses personnelles – violant la promesse d’anonymat de l’application. D’autres images divulguées ont été ridiculisées sur les forums en ligne, tandis qu’une tendance inquiétante est apparue avec la création d’applications copiées où les hommes pouvaient partager des détails intimes sur les femmes sans leur consentement.
Ces événements révèlent les dessous sombres de la demande croissante d’espaces en ligne spécifiquement destinés aux femmes. Si ces plateformes visent à fournir des refuges pour partager des expériences et rechercher du soutien, elles deviennent également des cibles potentielles d’exploitation lorsque les mesures de sécurité échouent.
