Một ứng dụng an toàn hẹn hò dành cho phụ nữ cho phép người dùng đánh giá và nhận xét về nam giới đã trải qua một sự cố bảo mật nghiêm trọng chỉ vài ngày sau khi đạt đỉnh bảng xếp hạng App Store của Apple. Vụ rò rỉ đã làm lộ hàng chục nghìn hình ảnh người dùng, bao gồm cả ảnh xác minh nhạy cảm và tài liệu nhận dạng, làm nổi bật những rủi ro liên quan đến các ứng dụng thu thập dữ liệu cá nhân cho các hệ thống đánh giá gây tranh cãi.
Thống kê vi phạm bảo mật:
- Tổng số hình ảnh bị xâm phạm: 72.000
- Ảnh selfie xác minh và ảnh ID: 13.000
- Hình ảnh ứng dụng có thể xem công khai: 59.000
- Tuổi dữ liệu: Hơn 2 năm (hệ thống cũ)
- Thời gian phát hiện vi phạm: 6:44 sáng PST, ngày 25 tháng 7
Khái niệm gây tranh cãi và sự nổi tiếng nhanh chóng của ứng dụng
Tea tự quảng cáo là một ứng dụng an toàn dành cho phụ nữ hoạt động tương tự như Yelp, nhưng thay vì đánh giá nhà hàng, phụ nữ đánh giá và nhận xét ẩn danh về những người đàn ông họ đã hẹn hò hoặc gặp gỡ. Ứng dụng cho phép người dùng tìm kiếm những người đàn ông cụ thể theo tên, xem ảnh và đọc các đánh giá chi tiết về hành vi, ngoại hình và lịch sử mối quan hệ của họ. Người dùng có thể gán cờ đỏ hoặc cờ xanh cho nam giới, về mặt lý thuyết giúp những phụ nữ khác xác định đối tác tiềm năng hoặc tránh những cá nhân có vấn đề.
Mặc dù ứng dụng đã tồn tại từ năm 2023, nó đột nhiên tăng lên đỉnh App Store trong tuần này vì những lý do không rõ ràng. Nền tảng này hạn chế quyền truy cập chỉ dành cho phụ nữ, yêu cầu xác minh thông qua ảnh selfie và trong một số trường hợp, ảnh giấy tờ tùy thân của chính phủ. Nam giới không thể tạo tài khoản hoặc phản hồi các đánh giá về bản thân họ, tạo ra một hệ thống đánh giá một chiều không có bất kỳ hình thức thủ tục tố tụng hoặc cơ chế kháng cáo nào.
Chi tiết ứng dụng:
- Năm ra mắt: 2023
- Xếp hạng gần đây: Số 1 trên Apple App Store
- Người dùng: Chỉ dành cho phụ nữ (nam giới không thể tạo tài khoản)
- Yêu cầu xác minh: Ảnh selfie và ảnh giấy tờ tùy thân do chính phủ cấp
- So sánh nền tảng: Tương tự như Yelp nhưng dành cho việc đánh giá nam giới
Phạm vi và chi tiết của vụ rò rỉ bảo mật
Vào thứ Sáu, ngày 25 tháng 7 lúc 6:44 sáng PST, Tea xác nhận việc truy cập trái phép vào một trong các hệ thống của họ. Cuộc điều tra sơ bộ của công ty tiết lộ rằng khoảng 72.000 hình ảnh đã bị xâm phạm từ một hệ thống lưu trữ dữ liệu cũ chứa thông tin hơn hai năm tuổi. Điều này bao gồm khoảng 13.000 ảnh selfie xác minh và ảnh nhận dạng được gửi trong quá trình tạo tài khoản, cộng với 59.000 hình ảnh từ bài đăng, bình luận và tin nhắn trực tiếp đã có thể xem công khai trong ứng dụng.
Vụ rò rỉ dường như đã được phát hiện và khai thác bởi người dùng từ 4chan, diễn đàn internet khét tiếng được biết đến với việc lưu trữ nội dung gây tranh cãi và các chiến dịch quấy rối có tổ chức. Các báo cáo cho thấy người dùng 4chan tuyên bố đã tìm thấy một cơ sở dữ liệu bị lộ được lưu trữ trên nền tảng Firebase của Google và bắt đầu chia sẻ các hình ảnh và dữ liệu cá nhân thu được trên diễn đàn của họ. Thời điểm của cuộc tấn công này, diễn ra ngay sau khi ứng dụng trở nên viral, cho thấy một phản ứng có mục tiêu đối với tiền đề gây tranh cãi của ứng dụng.
Các lỗ hổng kỹ thuật và phản ứng của nền tảng
Dữ liệu bị xâm phạm được lưu trữ trên cái mà Tea mô tả là một hệ thống lưu trữ dữ liệu cũ được duy trì để tuân thủ các yêu cầu thực thi pháp luật liên quan đến việc ngăn chặn bắt nạt mạng. Chi tiết mỉa mai này nhấn mạnh cách dữ liệu của chính ứng dụng, được thu thập có vẻ như vì mục đích an toàn, đã trở thành một trách nhiệm bảo mật khi không được bảo vệ đúng cách.
Tea đã thuê các chuyên gia an ninh mạng bên thứ ba để điều tra sự cố và bảo mật hệ thống của họ. Công ty tuyên bố không có bằng chứng nào cho thấy dữ liệu người dùng hiện tại hoặc thông tin tài khoản gần đây hơn đã bị ảnh hưởng, mặc dù điều này mang lại rất ít sự an ủi cho hàng nghìn người dùng có hình ảnh cá nhân và tài liệu nhận dạng hiện đang lưu hành trên các diễn đàn internet được biết đến với việc quấy rối và doxxing.
Cơ sở hạ tầng bảo mật:
- Nền tảng lưu trữ: Google Firebase
- Phân loại dữ liệu: Hệ thống cũ để tuân thủ pháp luật thực thi
- Biện pháp ứng phó: Các chuyên gia an ninh mạng bên thứ ba đã được thuê
- Vector tấn công: Cơ sở dữ liệu bị lộ được phát hiện bởi người dùng 4chan
Tác động rộng hơn đối với quyền riêng tư và an toàn kỹ thuật số
Sự cố này làm nổi bật những rủi ro cố hữu của các ứng dụng thu thập thông tin cá nhân nhạy cảm, đặc biệt là những ứng dụng có mô hình kinh doanh gây tranh cãi có thể thu hút các cuộc tấn công có mục tiêu. Vụ rò rỉ chứng minh cách các nền tảng kỹ thuật số có thể nhanh chóng trở thành nạn nhân của chính thành công của họ, đặc biệt khi thành công đó đi kèm với tranh cãi tích hợp thúc đẩy các tác nhân độc hại.
Ứng dụng Tea đại diện cho một phần của xu hướng rộng hơn về các dịch vụ Yelp cho con người và các nhóm Facebook Are We Dating the Same Guy? đã xuất hiện trong những năm gần đây. Trong khi những người ủng hộ lập luận rằng các nền tảng này giúp phụ nữ xác định những đối tác có khả năng nguy hiểm, các nhà phê bình lo ngại về việc thiếu thủ tục tố tụng, khả năng cáo buộc sai và những tác động đến quyền riêng tư của các hệ thống đánh giá áp dụng cho con người.
Sự leo thang nhanh chóng từ sự nổi tiếng viral đến rò rỉ bảo mật phục vụ như một câu chuyện cảnh báo về giao điểm của các nền tảng xã hội gây tranh cãi, các biện pháp bảo mật không đầy đủ và những kẻ tấn công có động cơ. Đối với những người dùng đã gửi ảnh xác minh cho Tea, vụ rò rỉ đại diện cho một lời nhắc nhở nghiêm khắc rằng thông tin cá nhân được chia sẻ với bất kỳ ứng dụng nào đều có khả năng trở thành công khai, bất kể các biện pháp bảo vệ quyền riêng tư được tuyên bố của nền tảng.