Ứng dụng hẹn hò Tea bị rò rỉ dữ liệu nghiêm trọng làm lộ 72.000 hình ảnh người dùng bao gồm cả giấy tờ tùy thân của chính phủ

Một sự cố bảo mật nghiêm trọng đã làm rung chuyển ứng dụng an toàn hẹn hò dành riêng cho phụ nữ Tea , làm lộ hàng chục nghìn hình ảnh người dùng bao gồm cả các tài liệu nhận dạng nhạy cảm của chính phủ. Vụ rò rỉ được phát hiện thông qua các liên kết được đăng trên diễn đàn hình ảnh gây tranh cãi 4chan , đã làm dấy lên những lo ngại nghiêm trọng về việc trộm cắp danh tính và quyền riêng tư của người dùng đối với một trong những ứng dụng an toàn phát triển nhanh nhất trong hệ sinh thái hẹn hò.

Thông tin cơ bản về ứng dụng Tea

• Thành lập: 2023
• Mục đích: Công cụ an toàn hẹn hò dành riêng cho phụ nữ
• Tính năng chính: Kiểm tra lý lịch, tìm kiếm hồ sơ tội phạm, tìm kiếm hình ảnh ngược để phát hiện lừa đảo qua ảnh giả
• Thành tựu gần đây: Ứng dụng miễn phí hàng đầu trên App Store của Apple (Hoa Kỳ)
• Nền tảng: Ứng dụng di động có sẵn trên iOS và Android
• Yêu cầu ID: Đã ngừng áp dụng vào năm 2023 (không còn bắt buộc đối với người dùng mới đăng ký)

Vụ vi phạm ứng dụng hẹn hò dành riêng cho phụ nữ làm nổi bật những cuộc thảo luận cấp bách về quyền riêng tư và sự an toàn trong hẹn hò trực tuyến

Phạm vi của vụ rò rỉ bảo mật

Tea xác nhận rằng khoảng 72.000 hình ảnh đã được các cá nhân không được phép truy cập thông qua một kho lưu trữ đám mây không được bảo mật được lưu trữ trên nền tảng Firebase của Google . Trong số những tệp bị xâm phạm này, 13.000 hình ảnh chứa tài liệu đặc biệt nhạy cảm bao gồm ảnh selfie của người dùng và tài liệu nhận dạng có ảnh do chính phủ cấp mà ban đầu được gửi trong quá trình xác minh tài khoản của ứng dụng. 59.000 hình ảnh còn lại bao gồm nội dung do người dùng tạo từ các bài đăng, bình luận và tin nhắn trực tiếp trước đây có thể xem công khai trong giao diện của ứng dụng.

Dữ liệu bị lộ có nguồn gốc từ một hệ thống lưu trữ chứa thông tin từ giai đoạn hoạt động trước đó của Tea , đặc biệt ảnh hưởng đến những người dùng đã tạo tài khoản trước tháng 2 năm 2024. Theo tuyên bố chính thức của công ty, dữ liệu lưu trữ này được duy trì để tuân thủ các yêu cầu của cơ quan thực thi pháp luật liên quan đến nỗ lực ngăn chặn bắt nạt mạng, mặc dù từ đó nó đã trở thành một trách nhiệm pháp lý thay vì một biện pháp bảo vệ.

Thống kê Vi phạm Bảo mật

Cách thức phát hiện vụ rò rỉ

Lỗ hổng bảo mật được phát hiện khi người dùng 4chan tích cực tìm cách xâm phạm ứng dụng thông qua cái mà họ gọi là chiến dịch hack và rò rỉ. Những cá nhân này đã phát hiện ra cơ sở dữ liệu đám mây có thể truy cập công khai bằng cách kiểm tra mã nguồn của ứng dụng, nơi các tham chiếu đến kho lưu trữ Firebase không được bảo mật rõ ràng có thể nhìn thấy. Khi vụ rò rỉ được xác định, người dùng 4chan bắt đầu có hệ thống tải xuống và chia sẻ các hình ảnh bị xâm phạm, với một cá nhân được báo cáo đã truy cập khoảng 3.000 tệp từ cơ sở dữ liệu bị lộ.

Sự cố này làm nổi bật những căng thẳng đang diễn ra xung quanh sứ mệnh và phương pháp của Tea , vì ứng dụng đã phải đối mặt với sự chỉ trích từ một số phía coi nó có khả năng phân biệt đối xử. Tranh cãi này có thể đã thúc đẩy nỗ lực có mục tiêu nhằm xâm phạm cơ sở hạ tầng bảo mật của nền tảng.

Phản ứng và điều tra của Tea

Sau khi phát hiện vụ rò rỉ, Tea ngay lập tức thừa nhận sự cố và khởi động giao thức ứng phó toàn diện. Công ty đã thuê các chuyên gia an ninh mạng bên thứ ba để tiến hành điều tra kỹ lưỡng và đã thông báo cho các cơ quan thực thi pháp luật có liên quan tại Hoa Kỳ. Tea nhấn mạnh rằng dữ liệu bị xâm phạm không thể được liên kết trực tiếp với các bài đăng hiện tại hoặc tài khoản người dùng đang hoạt động trong ứng dụng.

Công ty cũng đã làm rõ rằng không có thông tin cá nhân bổ sung nào như địa chỉ email, số điện thoại hoặc các chi tiết tài khoản khác bị truy cập trong vụ rò rỉ. Hơn nữa, Tea lưu ý rằng họ đã ngừng yêu cầu nhận dạng chính phủ trong quá trình đăng ký vào năm 2023, có nghĩa là những người dùng gần đây hơn sẽ không gửi tài liệu nhạy cảm như vậy.

Tác động đối với người dùng bị ảnh hưởng

Người dùng tham gia Tea trước tháng 2 năm 2024 và cung cấp giấy tờ nhận dạng của chính phủ trong quá trình đăng ký đối mặt với rủi ro cao nhất về các biến chứng liên quan đến danh tính. Việc lộ các tài liệu nhận dạng chính thức tạo ra cơ hội tiềm tàng cho những kẻ xấu tham gia vào việc trộm cắp danh tính hoặc lừa đảo bằng cách sử dụng thông tin bị xâm phạm. Mặc dù không có gì đảm bảo rằng việc lạm dụng như vậy sẽ xảy ra, khả năng này đại diện cho một mối quan tâm đáng kể đối với các cá nhân bị ảnh hưởng.

Sự nổi tiếng nhanh chóng của Tea , bao gồm vị trí gần đây của nó với tư cách là ứng dụng miễn phí hàng đầu trong App Store của Apple và cơ sở người dùng được báo cáo là hơn bốn triệu thành viên trên toàn cầu, có nghĩa là một số lượng đáng kể người có thể bị ảnh hưởng bởi sự cố bảo mật này. Chức năng cốt lõi của ứng dụng như một công cụ an toàn hẹn hò khiến sự mỉa mai của vụ rò rỉ này trở nên đặc biệt nghiêm trọng đối với những người dùng đã tin tưởng nền tảng với thông tin cá nhân nhạy cảm.

Các hành động được khuyến nghị cho người dùng

Các cá nhân có thể bị ảnh hưởng bởi vụ rò rỉ này nên thực hiện một số biện pháp bảo vệ ngay lập tức. Giám sát tài chính đại diện cho bước đầu tiên quan trọng nhất, với người dùng được khuyên nên xem xét cẩn thận các sao kê ngân hàng và hoạt động thẻ tín dụng cho bất kỳ giao dịch bất thường hoặc không được phép nào. Sự cảnh giác này nên mở rộng ra ngoài hậu quả trực tiếp của vụ rò rỉ, vì việc trộm cắp danh tính đôi khi có thể biểu hiện nhiều tháng sau khi dữ liệu ban đầu bị lộ.

Ngoài ra, người dùng bị ảnh hưởng nên xem xét đăng ký các dịch vụ giám sát tín dụng, nhiều dịch vụ trong số đó có sẵn miễn phí thông qua các nhà cung cấp như Experian . Những dịch vụ này có thể cảnh báo người dùng về hoạt động đáng ngờ liên quan đến thông tin cá nhân của họ trên các nền tảng trực tuyến và tổ chức tài chính khác nhau. Đối với những người tìm kiếm sự bảo vệ toàn diện hơn, các bộ bảo vệ trộm cắp danh tính đầy đủ cung cấp các lớp bảo mật và khả năng ứng phó bổ sung trong trường hợp hoạt động gian lận xảy ra.