Wyciek danych z aplikacji Tea: dziesiątki tysięcy zdjęć kobiet i ich dowodów tożsamości trafiło do sieci

Aplikacja Tea w ostatnich tygodniach stała się viralowym hitem w Stanach Zjednoczonych – w połowie lipca zajmowała pierwsze miejsce w rankingu darmowych aplikacji w Apple App Store. Według danych podanych przez spółkę, liczba rejestracji gwałtownie wzrosła do kilku milionów, a setki tysięcy kobiet wciąż czekają na zatwierdzenie konta. Popularność platformy przyciągnęła jednak także cyberprzestępców.

Firma potwierdziła w piątek, że doszło do naruszenia bezpieczeństwa danych. W wyniku ataku wykradziono około 72 tysiące zdjęć, z czego 13 tysięcy stanowią fotografie dokumentów i selfie używane w procesie weryfikacji tożsamości. Reszta to zdjęcia przesyłane w ramach publikacji i komentarzy w samej aplikacji.

Tea została zaprojektowana jako "wirtualna szeptana sieć", czyli przestrzeń, w której kobiety mogą anonimowo dzielić się doświadczeniami dotyczącymi mężczyzn. Użytkowniczki mają możliwość wyszukiwania profili według nazwiska, oceniania mężczyzn poprzez oznaczenia "red flag" (ostrzeżenie) lub "green flag" (pozytywna rekomendacja) oraz dodawania komentarzy. Aplikacja umożliwia też wyszukiwanie zdjęć i sprawdzanie historii kryminalnej, co ma przeciwdziałać tzw. catfishingowi oraz sytuacjom stwarzającym zagrożenie w randkach online.

Weryfikacja nowych użytkowniczek wymaga przesłania selfie – aplikacja zapewniała, że zdjęcia te są kasowane po akceptacji konta. Użytkowniczkom obiecywano również anonimowość (nie licząc nazwy konta) oraz blokadę wykonywania zrzutów ekranu wewnątrz aplikacji.

Według komunikatu Tea, do wycieku doszło w wyniku włamania do archiwalnej bazy sprzed ponad dwóch lat, przechowywanej, jak podano, w związku z wymogami organów ścigania dotyczącymi zapobiegania cyberprzemocy. Dane zostały udostępnione na forach internetowych, w tym 4chan i X (dawny Twitter), gdzie opublikowano link do plików z fotografiami. Kompletna baza trafiła również do sieci torrent. Dodatkowo w Google Maps pojawiła się nieoficjalna mapa z zaznaczonymi współrzędnymi miejsc, które mogą być powiązane z częścią użytkowniczek, choć nie zawiera ona imion ani dokładnych adresów.

Firma nie potwierdziła autentyczności mapy, ale wydała komunikat, że prowadzi analizę skali incydentu.

Jak poinformowano, spółka zaangażowała zewnętrznych ekspertów ds. cyberbezpieczeństwa i prowadzi działania naprawcze w trybie 24/7. Firma podkreśla, że nie ma dowodów na przejęcie innych danych, takich jak adresy e-mail czy numery telefonów. Co jednak ciekawe, właściciele aplikacji utrzymują, że wyciek dotyczy archiwalnych danych – w sieci jednak pojawiły się informacje, że w udostępnionej przez hakerów paczce są również fotografie z bieżącego roku.

Wyciek wywołał falę niepokoju wśród użytkowniczek, zwłaszcza że część wykradzionych danych to fotografie dokumentów tożsamości. Eksperci cytowani przez media ostrzegają, że mogą one zostać wykorzystane do kradzieży tożsamości, doxxingu lub stalkingu.

Aplikacja już wcześniej budziła kontrowersje – krytycy zarzucali jej możliwość rozpowszechniania plotek i narażania mężczyzn na anonimowe pomówienia. Po ataku jednak dyskusja przeniosła się na temat bezpieczeństwa danych kobiet, które zaufały platformie.

Twórca aplikacji, Sean Cook, w wywiadach podkreślał, że inspiracją do stworzenia Tea były trudne doświadczenia jego matki na portalach randkowych, w tym przypadki kontaktów z osobami podszywającymi się pod innych oraz mężczyznami z kryminalną przeszłością. Firma deklaruje, że 10 proc. swoich zysków przekazuje na wsparcie National Domestic Violence Hotline, co potwierdziła sama organizacja.

Atak na Tea był poprzedzony falą wrogich komentarzy na forach prawicowych trolli. Wątki m.in. na forum 4chan nawoływały do działania typu "hack and leak" – czyli włamania i upublicznienia danych z aplikacji. Po incydencie w sieci pojawiły się również próby stworzenia męskich odpowiedników aplikacji. Jeden z nich – Teaborn – został szybko usunięty z App Store po krytyce za publikowanie treści o charakterze zemsty i naruszeń prywatności.

Spółka zapowiada kolejne aktualizacje bezpieczeństwa i informuje, że kontaktuje się z użytkowniczkami, których dane mogły zostać ujawnione. Na forach i w mediach społecznościowych część osób wzywa do pozwów zbiorowych przeciwko firmie.

Eksperci ds. cyberbezpieczeństwa zwracają uwagę, że incydent Tea jest jednym z największych wycieków danych w segmencie aplikacji społecznościowych dla kobiet i pokazuje, jak duże ryzyko wiąże się z gromadzeniem danych biometrycznych nawet w produktach, które mają zapewniać bezpieczeństwo.