L’app di sicurezza per sole donne Tea sta affrontando una grave crisi di sicurezza dopo che due distinte violazioni dei dati hanno rivelato informazioni profondamente personali sui suoi utenti, evidenziando le vulnerabilità che possono esistere anche nelle app commercializzate come spazi sicuri per le donne.
Pochi giorni dopo l’esposizione di migliaia di immagini e ID di verifica degli utenti da un database legacy, un ricercatore indipendente ha rivelato una seconda, più sinistra vulnerabilità. Questa falla consentiva l’accesso ai messaggi privati scambiati tra utenti, potenzialmente contenenti dettagli sensibili come numeri di telefono, discussioni su relazioni intime e persino conversazioni riguardanti l’aborto.
La ricercatrice Kasra Rahjerdi è riuscita a recuperare queste recenti conversazioni da un database separato, dimostrando la profondità del compromesso. La violazione ha anche messo in luce le funzionalità back-end delle app, garantendo l’accesso non autorizzato a strumenti come le notifiche push di massa, sollevando preoccupazioni su potenziali manipolazioni o molestie.
In aggiunta all’urgenza, Rahjerdi ha scoperto che questa seconda vulnerabilità è rimasta attiva fino alla settimana scorsa, in coincidenza con le segnalazioni della fuga di dati iniziale. Ciò suggerisce una persistente lacuna di sicurezza che ha consentito alle informazioni sensibili di rimanere esposte per un periodo prolungato.
Sebbene inizialmente Tea abbia rilasciato dichiarazioni affrontando la prima violazione e sostenendo che nessun dato utente attuale fosse stato compromesso, la sua successiva risposta a 404Media riconosce un’indagine più ampia che coinvolge società esterne di sicurezza informatica e forze dell’ordine. La società ha dichiarato: “Stiamo continuando a lavorare rapidamente per contenere l’incidente e abbiamo avviato un’indagine completa con l’assistenza di società esterne di sicurezza informatica. Abbiamo anche contattato le forze dell’ordine e stiamo assistendo nelle loro indagini”.
Questa catastrofe dei dati sottolinea l’importanza fondamentale di solide misure di sicurezza, in particolare per le app progettate per proteggere le informazioni sensibili. La popolarità dell’app Tea è aumentata di recente in mezzo a accese polemiche sul suo ruolo percepito come piattaforma “anti-maschile”.
Mentre infuriavano i dibattiti sulla sua efficacia e sui potenziali pregiudizi, la vulnerabilità sfruttata dagli hacker ha consentito agli autori malintenzionati di prendere di mira direttamente le utenti donne. I dati di geolocalizzazione della violazione iniziale sono stati utilizzati per il doxxing, ossia per rivelare pubblicamente informazioni personali come gli indirizzi di casa, violando la promessa di anonimato dell’app. Ulteriori immagini trapelate sono state oggetto di ridicolo nei forum online, mentre è emersa una tendenza inquietante con la creazione di app imitazioni in cui gli uomini potevano condividere dettagli intimi sulle donne senza il loro consenso.
Questi eventi mettono in luce il lato oscuro della crescente domanda di spazi online rivolti specificamente alle donne. Sebbene tali piattaforme mirano a fornire rifugi sicuri per condividere esperienze e cercare supporto, diventano anche potenziali bersagli di sfruttamento quando le garanzie di sicurezza falliscono.
