Додаток для жіночого чату Tea зіткнувся з серйозною кризою безпеки після двох окремих витоків даних, які розкрили глибоко особисту інформацію про його користувачів, підкреслюючи вразливі місця, які можуть існувати навіть у додатках, які рекламують себе як безпечні місця для жінок.
Лише через кілька днів після оприлюднення тисяч фотографій і ідентифікаторів користувачів із застарілої бази даних незалежний дослідник виявив другий, більш небезпечний злом. Ця вразливість передбачала несанкціонований доступ до особистих повідомлень, які відправляються між користувачами, які потенційно можуть містити конфіденційну інформацію, таку як номери телефонів, обговорення інтимних стосунків і навіть розмови про аборти.
Дослідник Касра Раджерді зміг витягнути ці недавні розмови з окремої бази даних, продемонструвавши масштаб того, що сталося. Злом також виявив «back-end» функції програми, які надавали несанкціонований доступ до таких інструментів, як масові сповіщення, що викликало занепокоєння щодо потенційних маніпуляцій або агресивних дій.
Піднявши тривогу, Раджерді виявив, що ця друга вразливість залишалася активною до минулого тижня, що збігалося з повідомленнями про початкове порушення даних. Це вказує на постійні недоліки безпеки, через які конфіденційна інформація була доступною протягом тривалого часу.
Хоча Tea спочатку робив заяви, пов’язані з першим інцидентом зі зломом, і стверджував, що дані поточних користувачів не були скомпрометовані, його наступне повідомлення для 404Media визнало ширше розслідування із залученням зовнішніх фірм з кібербезпеки та правоохоронних органів. Компанія заявила: “Ми продовжуємо швидко працювати над вирішенням інциденту та розпочали повне розслідування за допомогою зовнішніх компаній із кібербезпеки. Ми також зв’язалися з правоохоронними органами та допомагаємо їм у розслідуванні”.
Ця катастрофа даних підкреслює критичну важливість надійних заходів безпеки, особливо для програм, призначених для захисту конфіденційної інформації. Популярність додатка Tea нещодавно зросла на тлі бурхливих дебатів навколо його сприйманої ролі як «античоловічої» платформи.
Поки точилися дебати щодо його ефективності та потенційної упередженості, уразливість, якою скористалися хакери, дозволила зловмисникам безпосередньо націлитися на користувачів-жінок. Геолокація з початкового витоку даних використовувалася для «стикування» — публічного розкриття особистої інформації, як-от адреси проживання, порушуючи обіцянку програми щодо анонімності. Додаткові витоку зображень висміювали на онлайн-форумах, з тривожною тенденцією створення копіювальних додатків, де чоловіки могли ділитися інтимними подробицями про жінок без їхньої згоди.
Ці події викривають темну підводну течію зростаючого попиту на онлайн-простори, створені спеціально для жінок. Хоча такі платформи мають на меті забезпечити безпечні гавані для обміну досвідом і пошуку підтримки, вони також можуть стати потенційними цілями для експлуатації, коли захист безпеки не працює.
