Приложение для знакомств для женщин «Tea» взломано, личные данные пользователей опубликованы на 4chan.

Пользователи онлайн-форума 4chan утверждают, что обнаружили открытый доступ к базе данных, размещенной на платформе Google для мобильной разработки Firebase, принадлежащей новому популярному приложению для обеспечения безопасности женщин в сфере знакомств Tea. Пользователи сообщают о просмотре личных данных и селфи, загруженных в приложение, и последующей публикации этих данных в сети, что подтверждается скриншотами, публикациями на 4chan и анализом кода, проведенным изданием 404 Media.

В заявлении, предоставленном 404 Media, представители Tea подтвердили факт утечки данных, затронувшей также часть личных сообщений, но отметили, что эти данные относятся к периоду двухлетней давности. Приложение Tea, заявляющее о более чем 1,6 миллионах пользователей, на этой неделе достигло вершины чартов App Store и получило там десятки тысяч отзывов. Приложение призвано обеспечить безопасное пространство для женщин, позволяющее обмениваться информацией о мужчинах с целью обеспечения собственной безопасности, и проверяет, что новые пользователи являются женщинами, запрашивая у них загрузку селфи.

"Если вы отправляли свое фото и копию водительского удостоверения в Tea App, ваши данные были опубликованы в открытом доступе! Никакой аутентификации, ничего. Это общедоступный ресурс", – говорится в публикации на 4chan с подробностями об уязвимости. "ВОДИТЕЛЬСКИЕ УДОСТОВЕРЕНИЯ И ФОТО! ВСТУПАЙТЕ, ПОКА НЕ ЗАБЛОКИРОВАЛИ!"

В публикации утверждается, что проблема заключалась в открытой базе данных, которая позволяла любому получить доступ к материалам. "Изображения в ресурсе представлены в необработанном и нецензурированном виде", – написал пользователь. Другие пользователи создали скрипты для автоматизации процесса сбора личной информации из открытой базы данных, как следует из других публикаций в ветке и копий этих скриптов. В своих условиях использования Tea указывает: "При первой регистрации в Tea мы просим вас создать имя пользователя и указать местоположение, дату рождения, фотографию и фотографию удостоверения личности".

После публикации этой статьи представители Tea подтвердили факт утечки данных в электронном письме, отправленном изданию 404 Media. Компания заявила в пятницу, что "выявила несанкционированный доступ к одной из своих систем и немедленно начала всестороннее расследование для оценки масштаба и последствий". Компания утверждает, что утечка затронула данные, относящиеся к периоду более чем двухлетней давности, и включала 72 000 изображений (13 000 селфи и фотографий удостоверений личности и 59 000 изображений из публикаций в приложении и личных сообщений). "Эти данные изначально хранились в соответствии с требованиями правоохранительных органов, связанными с предотвращением кибербуллинга", – говорится в электронном письме. "Мы привлекли сторонних экспертов по кибербезопасности и работаем круглосуточно над обеспечением безопасности наших систем. На данный момент нет никаких доказательств того, что были затронуты текущие или дополнительные данные пользователей. Защита конфиденциальности и данных наших пользователей является нашим главным приоритетом. Мы принимаем все необходимые меры для обеспечения безопасности нашей платформы и предотвращения дальнейшего раскрытия данных".