Личные признания, измены, аборты — и всё это теперь доступно каждому.
История с приложением Tea, которое позиционирует себя как безопасное пространство для женщин, обернулась уже Для просмотра ссылки Войдиили Зарегистрируйся за неделю — и на этот раз всё гораздо серьёзнее. Независимый специалист по информационной безопасности Для просмотра ссылки Войди или Зарегистрируйся , что через уязвимость в API можно было получить доступ к огромной базе данных с личной перепиской пользователей, включая обсуждения абортов, измен, телефонов и иных данных, которые люди считали строго конфиденциальными. Вдобавок, по его словам, существовала возможность рассылки push-уведомлений всем зарегистрированным.
Хотя ранее представители Tea уверяли, что инцидент затронул лишь «устаревшее хранилище данных двухлетней давности», новая проблема касается совсем свежей информации — сообщения доходят до июля 2025 года. Исследователь передал журналистам из 404 Media копию базы, содержащей более 1,1 миллиона сообщений, а их подлинность подтвердили: имена пользователей из дампа уже заняты, и зарегистрировать на них новые аккаунты невозможно.
Tea стремится создать площадку, где женщины могут делиться друг с другом информацией о мужчинах — для предупреждения рисков при знакомствах. Чтобы вступить в сообщество, нужно подтвердить свою женскую идентичность с помощью селфи. Но сам подход к безопасности оказался вопиюще небрежным. Переписка, которую пользователи считали приватной, оказалась легкодоступной, а в некоторых случаях содержала как номера телефонов, так и ссылки на социальные сети, что позволяло без труда установить настоящие имена пользователей.
Разговоры в сообщениях — это не просто тривиальные обсуждения. Среди них: откровения об абортах, разоблачения двойной жизни партнёров, совпадения между женщинами, которые встречаются с одним и тем же мужчиной. Один из примеров — сообщение от женщины, которая пишет другой, что обнаружила мужа в этом приложении. В другом — невеста пытается выяснить, верен ли ей жених. В одном из чатов пользователи даже сравнивают автомобили партнёра, чтобы проверить, идёт ли речь об одном и том же человеке.
В отличие от первой утечки, вызванной незащищённым экземпляром Firebase и затронувшей десятки тысяч фотографий и документов, текущая проблема позволяла любому обладателю пользовательского API-ключа получить доступ к актуальной базе. Уязвимость была закрыта только в конце прошлой недели.
Кроме чтения сообщений, на основе полученных данных участники 4chan создали целую систему публичного ранжирования женщин — пользователям предлагалось выбирать, кто «выглядит привлекательнее» на селфи из приложения. Эти изображения и фотографии удостоверений личности превратились в материал для насмешек и домогательств. Некоторые из снимков были оценены десятки тысяч раз.
Tea утверждает, что активно расследует инцидент при поддержке сторонних специалистов и взаимодействует с правоохранительными органами. Однако, учитывая чувствительность затронутых данных и контекст использования приложения, ущерб, нанесённый приватности женщин, может оказаться необратимым.
История с приложением Tea, которое позиционирует себя как безопасное пространство для женщин, обернулась уже Для просмотра ссылки Войди
Хотя ранее представители Tea уверяли, что инцидент затронул лишь «устаревшее хранилище данных двухлетней давности», новая проблема касается совсем свежей информации — сообщения доходят до июля 2025 года. Исследователь передал журналистам из 404 Media копию базы, содержащей более 1,1 миллиона сообщений, а их подлинность подтвердили: имена пользователей из дампа уже заняты, и зарегистрировать на них новые аккаунты невозможно.
Tea стремится создать площадку, где женщины могут делиться друг с другом информацией о мужчинах — для предупреждения рисков при знакомствах. Чтобы вступить в сообщество, нужно подтвердить свою женскую идентичность с помощью селфи. Но сам подход к безопасности оказался вопиюще небрежным. Переписка, которую пользователи считали приватной, оказалась легкодоступной, а в некоторых случаях содержала как номера телефонов, так и ссылки на социальные сети, что позволяло без труда установить настоящие имена пользователей.
Разговоры в сообщениях — это не просто тривиальные обсуждения. Среди них: откровения об абортах, разоблачения двойной жизни партнёров, совпадения между женщинами, которые встречаются с одним и тем же мужчиной. Один из примеров — сообщение от женщины, которая пишет другой, что обнаружила мужа в этом приложении. В другом — невеста пытается выяснить, верен ли ей жених. В одном из чатов пользователи даже сравнивают автомобили партнёра, чтобы проверить, идёт ли речь об одном и том же человеке.
В отличие от первой утечки, вызванной незащищённым экземпляром Firebase и затронувшей десятки тысяч фотографий и документов, текущая проблема позволяла любому обладателю пользовательского API-ключа получить доступ к актуальной базе. Уязвимость была закрыта только в конце прошлой недели.
Кроме чтения сообщений, на основе полученных данных участники 4chan создали целую систему публичного ранжирования женщин — пользователям предлагалось выбирать, кто «выглядит привлекательнее» на селфи из приложения. Эти изображения и фотографии удостоверений личности превратились в материал для насмешек и домогательств. Некоторые из снимков были оценены десятки тысяч раз.
Tea утверждает, что активно расследует инцидент при поддержке сторонних специалистов и взаимодействует с правоохранительными органами. Однако, учитывая чувствительность затронутых данных и контекст использования приложения, ущерб, нанесённый приватности женщин, может оказаться необратимым.
- Источник новости
- www.securitylab.ru