TeaOnHer , một ứng dụng hẹn hò gây tranh cãi được thiết kế để nam giới chia sẻ thông tin về những phụ nữ họ đã hẹn hò, đã gặp phải vụ vi phạm dữ liệu nghiêm trọng khiến thông tin cá nhân của hàng nghìn người dùng bị lộ. Ứng dụng này, được ra mắt như một phản ứng dành cho nam giới đối với ứng dụng Tea phổ biến, đã để lộ dữ liệu nhạy cảm bao gồm bằng lái xe, ảnh selfie và thông tin đăng nhập tài khoản có thể truy cập công khai trên internet.
Quy mô vi phạm dữ liệu:
- Hơn 12.000 hình ảnh bị lộ
- Hàng nghìn ảnh selfie và giấy tờ tùy thân của chính phủ bị ảnh hưởng
- Bằng lái xe có thể truy cập qua các địa chỉ web công khai
- Email và mật khẩu dạng văn bản thuần túy của người tạo ứng dụng bị lộ
- Bảng điều khiển quản trị bị bỏ ngỏ không được bảo mật
Rò rỉ dữ liệu lớn do lỗ hổng bảo mật cơ bản
Vụ vi phạm bảo mật ảnh hưởng đến hơn 12.000 hình ảnh được lưu trữ trong cơ sở dữ liệu có thể truy cập công khai, bao gồm hàng nghìn ảnh selfie và tài liệu nhận dạng do chính phủ cấp. Điều khiến vụ vi phạm này đặc biệt đáng lo ngại là việc truy cập dữ liệu dễ dàng như thế nào - hình ảnh bằng lái xe có thể truy cập thông qua các địa chỉ web đơn giản mà bất kỳ ai cũng có thể xem trong trình duyệt của họ. Người tạo ra ứng dụng thậm chí còn để lộ địa chỉ email và mật khẩu của chính họ trên máy chủ, tạo điều kiện cho những kẻ tấn công tiềm năng truy cập vào các quyền kiểm soát quản trị.
Cộng đồng đã nhanh chóng chỉ ra rằng đây không phải là những cuộc tấn công tinh vi, mà đúng hơn là những thiếu sót bảo mật cơ bản. Nhiều nhà phát triển trong cuộc thảo luận nhấn mạnh rằng các đội ngũ có năng lực sẽ không bao giờ bỏ sót những biện pháp bảo vệ cơ bản như vậy. Vụ vi phạm này làm nổi bật mối lo ngại ngày càng tăng về việc lập trình theo cảm tính - khi các nhà phát triển thiếu kinh nghiệm sử dụng các công cụ AI để xây dựng ứng dụng mà không hiểu các nguyên tắc bảo mật cốt lõi.
Các lỗ hổng bảo mật đã được xác định:
- Hình ảnh được lưu trữ với các URL có thể truy cập công khai
- Không có xác thực phù hợp cho các tài liệu nhạy cảm
- Cấu hình cơ sở dữ liệu được để lại không an toàn
- Thông tin đăng nhập quản trị viên được lưu trữ dưới dạng văn bản thuần túy
- Quyền truy cập khách có sẵn mà không cần xác minh đăng nhập
Mối lo ngại gia tăng về niềm tin vào App Store và an toàn người dùng
Sự cố này đã khơi mào các cuộc thảo luận rộng rãi hơn về việc liệu các vụ vi phạm dữ liệu thường xuyên có thể cuối cùng làm tổn hại niềm tin vào các cửa hàng ứng dụng và nền tảng di động hay không. Người dùng ngày càng thận trọng khi chia sẻ thông tin cá nhân với các ứng dụng mới, đặc biệt sau khi chứng kiến nhiều ví dụ về thực hành bảo mật kém.
Điều này không thể bị bỏ sót bởi các nhà phát triển có năng lực, trong cả hai trường hợp (sự cố tea và teaonher ). Ngoài ra với sự ra đời của a.i./lập trình theo cảm tính, những người không có trình độ và/hoặc kinh nghiệm trong phát triển phần mềm hiện đang cố gắng bán/giả mạo bản thân là các nhà phát triển chuyên nghiệp, điều này cũng dẫn đến những tình huống bảo mật thảm khốc như vậy.
Tranh cãi vượt ra ngoài những lỗi kỹ thuật. Mục đích của ứng dụng - cho phép người dùng chia sẻ thông tin có thể tiêu cực về những người họ đã hẹn hò - đã đặt ra những câu hỏi đạo đức về quyền riêng tư kỹ thuật số và khả năng quấy rối. Các nhà phê bình cho rằng những nền tảng như vậy có thể góp phần tạo ra văn hóa hẹn hò độc hại và có thể gây tổn hại không cân xứng cho phụ nữ trở thành chủ đề của các bài đăng.
Tác động rộng hơn đối với các ứng dụng hẹn hò hiện đại
Vụ vi phạm này xảy ra vào thời điểm các ứng dụng hẹn hò đang phải đối mặt với sự giám sát gia tăng về thực hành xử lý dữ liệu và tác động xã hội của họ. Sự cố này đã làm bùng phát lại các cuộc tranh luận về mối quan hệ giữa công nghệ và văn hóa hẹn hò hiện đại, với một số thành viên cộng đồng chỉ ra tỷ lệ kết hôn giảm và căng thẳng giới tính gia tăng như những triệu chứng của các vấn đề xã hội sâu xa hơn.
Vụ vi phạm TeaOnHer đóng vai trò như một lời nhắc nhở nghiêm khắc rằng người dùng nên cân nhắc cẩn thận thông tin cá nhân nào họ chia sẻ với bất kỳ ứng dụng nào, bất kể mục đích được tuyên bố của nó. Như một thành viên cộng đồng đã lưu ý, ngay cả các công ty lớn, đã thành lập cũng đã trải qua các vụ vi phạm dữ liệu qua nhiều năm, khiến việc người dùng tiếp cận các ứng dụng mới với sự hoài nghi lành mạnh về thực hành bảo mật dữ liệu của họ trở nên quan trọng.
Ứng dụng vẫn có sẵn bất chấp các vấn đề bảo mật, mặc dù không rõ liệu các lỗ hổng đã được khắc phục hay chưa. Sự cố này bổ sung vào danh sách ngày càng dài các lỗi bảo mật ứng dụng hẹn hò tiếp tục để lộ thông tin cá nhân nhạy cảm nhất của người dùng.
Tham khảo: TeaOnHer, a rival Tea app for men, is leaking users' personal data and driver's licenses