大規模な侵害により、紅茶デーティングアプリが72,000人のユーザーの写真とIDを漏洩

女性向けのデート安全アプリ、Teaが深刻なデータ漏洩の被害に遭いました。このアプリは最近、App Storeでトップに躍り出ました。

4chanのハッカーたちがTeaの露出したデータベースにアクセスし、その後、ユーザーの自撮りやID写真をオンラインで共有し始めたことが、初めて404Mediaによって報告されました。

その違反は、Teaが使用していたセキュリティのないGoogle Firebaseデータベースのせいで可能になったのです。「そう、あなたがTeaアプリにあなたの顔と運転免許証を送ったなら、あなたは公に晒されてしまったのです！認証も何もありません。公開バケットだからです」と4chanの投稿に書かれていました、と404Mediaが報告しています。

それに続けて、「運転免許証と顔写真を手に入れる！彼らがシャットダウンする前にここに来て！」と書かれていました。

ティー社は404メディアに対し、この侵害が2年以上前の古いデータに影響を及ぼし、72,000枚の画像、13,000枚のセルフィーと身分証明書の写真、そして投稿やメッセージからの59,000枚のその他の画像が含まれていたことを確認しました。

「このデータはもともと、ネットいじめ防止に関連する法執行要件に準拠して保存されていました」と会社は説明しました。

リークされたデータにはダイレクトメッセージも含まれています。404メディアは、Androidアプリをデコンパイルし、4chanで共有された同じストレージURLを見つけることで、この露出を確認しました。

「バケット内のイメージは生のままで、無修正です」とあるユーザーが書き込みました。4chanの他のユーザーたちは、リークされたデータを自動的に収集するスクリプトさえ作成しました。

Teaの検証プロセスでは、プラットフォームに参加する前に、ユーザーがセルフィーとIDの写真をアップロードし、自身が女性であることを確認する必要があります。このプラットフォームでは、「私たちは同じ男性とデートしているの？」というFacebookのグループのように機能するシステムを通じて、女性が男性についての匿名の警告を共有することが可能です。

侵害を発見した後、Teaはサイバーセキュリティの専門家と協力して対応しており、404Mediaへのメールで、「ユーザーのプライバシーとデータの保護が我々の最優先事項です」と述べています。

404Mediaは、元の4chanのスレッドはすでに削除されていることを指摘していますが、アーカイブされたバージョンは引き続き流通しています。