Một ứng dụng hẹn hò an toàn dành cho phụ nữ phổ biến có tên Tea đã gặp phải vụ vi phạm bảo mật thảm khốc làm lộ thông tin cá nhân của khoảng 30.000 người dùng, bao gồm bằng lái xe, ảnh selfie và dữ liệu định vị GPS. Vụ vi phạm không xảy ra thông qua việc hack tinh vi, mà bởi vì ứng dụng đã lưu trữ dữ liệu nhạy cảm của người dùng trong một Firebase storage bucket hoàn toàn công khai có thể truy cập bởi bất kỳ ai trên internet.
Tea , ứng dụng đã lên đến đầu bảng xếp hạng App Store trong tuần này, được thiết kế để giúp phụ nữ chia sẻ thông tin về những người đàn ông họ đã hẹn hò nhằm thúc đẩy sự an toàn. Người dùng được yêu cầu xác minh danh tính bằng cách tải lên ảnh selfie và ảnh bằng lái xe. Tuy nhiên, những tài liệu cực kỳ nhạy cảm này được lưu trữ mà không có bất kỳ biện pháp bảo vệ bảo mật nào.
Thống kê vi phạm:
- Người dùng bị ảnh hưởng: ~30.000 người dùng
- Khối lượng dữ liệu: 60GB thông tin cá nhân
- Loại dữ liệu bị lộ: Bằng lái xe, ảnh selfie, tên người dùng, email, lịch sử trò chuyện, tọa độ GPS
- Nền tảng lưu trữ: Firebase (nền tảng phát triển di động của Google)
- Mức độ bảo mật: Bucket công khai không yêu cầu xác thực
Phạm vi của việc lộ dữ liệu
Thông tin bị rò rỉ bao gồm nhiều hơn chỉ là ảnh xác minh danh tính. Người dùng trên 4chan đã phát hiện ra cơ sở dữ liệu bị lộ và bắt đầu tải xuống một cách có hệ thống 60GB dữ liệu, bao gồm bằng lái xe, ảnh selfie, tên người dùng, địa chỉ email, lịch sử trò chuyện và tọa độ GPS từ metadata ảnh. Thậm chí có người đã tạo một bản đồ công khai hiển thị vị trí của tất cả 30.000 người dùng dựa trên dữ liệu vị trí này.
Vụ vi phạm đã tạo ra một torrent file chứa tất cả thông tin này, hiện đang được phân phối rộng rãi trực tuyến. Điều này có nghĩa là thiệt hại vượt xa khỏi việc phát hiện ban đầu, vì dữ liệu hiện đã có sẵn vĩnh viễn cho bất kỳ ai muốn truy cập.
Sự thiếu trách nhiệm kỹ thuật đằng sau vụ vi phạm
Lỗ hổng bảo mật dường như bắt nguồn từ việc triển khai kỹ thuật cực kỳ kém. Ứng dụng đã sử dụng Firebase , nền tảng phát triển di động của Google , nhưng cấu hình nó như một bucket công khai không yêu cầu xác thực. Điều này có nghĩa là bất kỳ ai biết URL đều có thể truy cập tất cả các tệp được lưu trữ trực tiếp thông qua trình duyệt web của họ.
BẰNG LÁI XE VÀ ẢNH MẶT! VÀO ĐÂY TRƯỚC KHI HỌ ĐÓNG NÓ LẠI! một người dùng 4chan đã phát hiện ra lỗ hổng đã đăng, làm nổi bật việc dữ liệu có thể truy cập dễ dàng như thế nào.
Các cuộc thảo luận cộng đồng tiết lộ rằng đây không phải là một cuộc tấn công mạng tinh vi mà đúng hơn là sự hiểu lầm cơ bản về các thực hành bảo mật cơ bản. Nhiều người dùng đã tạo các script tự động để tải xuống toàn bộ cơ sở dữ liệu, và công ty chỉ bảo mật bucket sau khi vụ vi phạm trở thành kiến thức công khai.
Chi tiết kỹ thuật:
- Nền tảng: Bucket lưu trữ Firebase
- Phương thức truy cập: Truy cập trực tiếp qua URL (không cần hack)
- Định dạng dữ liệu: Các tệp không được mã hóa
- Phương thức phát hiện: Người dùng 4chan tìm thấy cơ sở dữ liệu bị lộ
- Công cụ tự động: Nhiều script được tạo ra để tải dữ liệu hàng loạt
Tác động pháp lý và an toàn
Vụ vi phạm tạo ra những lo ngại nghiêm trọng về an toàn cho những phụ nữ bị ảnh hưởng. Nhiều người dùng của các ứng dụng hẹn hò an toàn có thể có lệnh cấm tiếp cận chống lại các đối tác bạo lực hoặc đang cố gắng thoát khỏi các mối quan hệ lạm dụng. Việc có thông tin cá nhân của họ, bao gồm địa chỉ nhà được suy ra từ dữ liệu GPS , bị lộ trực tuyến có thể đặt họ vào tình huống nguy hiểm về thể chất.
Sự cố cũng đặt ra câu hỏi về chức năng cốt lõi của ứng dụng. Tea cho phép người dùng đăng ảnh và thông tin về đàn ông mà không có sự đồng ý của họ, về cơ bản tạo ra cái mà các nhà phê bình gọi là nền tảng doxxing. Sự mỉa mai rằng người dùng của một ứng dụng doxxing giờ đây đã bị doxxing ngược lại không được các nhà quan sát bỏ qua.
Các chuyên gia pháp lý cho rằng công ty phải đối mặt với các vụ kiện tập thể tiềm năng và các vụ kiện dân sự cá nhân. Việc xử lý thiếu trách nhiệm dữ liệu nhạy cảm như vậy, đặc biệt là bằng lái xe được coi là tài liệu nhận dạng của chính phủ, có thể dẫn đến các khoản phạt tài chính đáng kể và trách nhiệm hình sự.
Dòng thời gian các sự kiện:
- Ra mắt ứng dụng: 2023 (đạt vị trí số 1 trên App Store vào tháng 7 năm 2025)
- Phát hiện vi phạm: 25 tháng 7 năm 2025 lúc 6:44 sáng theo giờ PST
- Phân phối dữ liệu: Thông tin được chia sẻ trên 4chan và phân phối qua torrent
- Phản hồi của công ty: Tuyên bố chính thức được đăng sau khi bị công khai
Phản hồi của công ty và tác động ngành
Phản hồi chính thức của Tea tuyên bố họ đã xác định được việc truy cập trái phép vào hệ thống của họ, nhưng cách đóng khung này đã bị chỉ trích là gây hiểu lầm vì dữ liệu đã có thể truy cập công khai từ đầu. Công ty thừa nhận họ đã lưu trữ ảnh xác minh người dùng lâu hơn so với những gì người dùng được thông báo, mâu thuẫn với chính sách bảo mật của họ.
Sự cố này đóng vai trò như một lời nhắc nhở nghiêm khắc về những rủi ro liên quan đến việc tải lên giấy tờ nhận dạng của chính phủ cho các ứng dụng và dịch vụ chưa được chứng minh. Khi các chính phủ trên toàn thế giới thúc đẩy nhiều yêu cầu xác minh tuổi trực tuyến hơn, vụ vi phạm này chứng minh việc các hệ thống như vậy có thể đi sai một cách thảm khốc như thế nào khi được triển khai mà không có các biện pháp bảo mật phù hợp.
Vụ vi phạm ứng dụng Tea đại diện cho một cơn bão hoàn hảo của việc triển khai kỹ thuật kém, đạo đức kinh doanh đáng ngờ và những căng thẳng ngày càng tăng xung quanh quyền riêng tư và an toàn trực tuyến trong thế giới hẹn hò kỹ thuật số.
Tham khảo: Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan