Ваша личная информация под угрозой? Что случилось с популярным приложением для знакомств Tea

Приложение для знакомств Tea, которое в последнее время набирает популярность, оказалось в центре скандала. Если вы слышали о нем в X (Twitter), то знаете, что оно позволяет женщинам анонимно делиться информацией о мужчинах, с которыми они ходили на свидания, выставляя так называемые "красные флаги".

Разработчики позиционируют Tea как инструмент для повышения безопасности онлайн-знакомств. На сайте компании говорится, что их миссия – "создать более безопасную среду для знакомств для женщин". Для тех, кто не совсем понимает, как это работает, вот наглядная схема:

Изображение с сайта Tea

Приложение существует с 2023 года, но именно споры вокруг него привлекли к нему внимание и вывели в топы рейтингов. Однако теперь Tea столкнулось с серьезной проблемой – утечкой данных пользователей, ответственность за которую взяли на себя пользователи с известного форума 4chan.

Причиной утечки стала банальная ошибка в разработке. Разработчики Tea оставили базу данных на серверах Firebase от Google практически без защиты. Firebase – удобная платформа для быстрой разработки, но настройки безопасности по умолчанию требуют ручной настройки, иначе они могут привести к катастрофическим последствиям.

Данные в Firebase хранятся в "корзинах" (buckets) – папках в облачном хранилище. В случае с Tea, утекшая "корзина" содержала конфиденциальные данные, которые приложение требует от пользователей для верификации: селфи и фотографии удостоверений личности, необходимые для подтверждения того, что пользователи – женщины.

Как обнаружили уязвимость

Пользователи 4chan быстро обнаружили эту "открытую дверь" и не преминули воспользоваться ею. Один из них написал: "Если вы отправили Tea App свое лицо и водительские права, вас слили в общий доступ!". Другой заявил, что успел скачать около 3000 изображений, прежде чем столкнулся с ограничением скорости.

Изображение: 404Media

По словам пользователей, хранилище личной информации было доступно в "сыром и необработанном" виде. Согласно Условиям использования Tea, для регистрации в приложении, помимо селфи и фото удостоверения личности, необходимо предоставить данные о местоположении и дате рождения. Сообщается, что все эти данные также оказались в открытом доступе.

Издание 404 Media сообщает, что любой, у кого была правильная ссылка, мог просматривать список файлов пользователей. Сейчас эта страница заблокирована и выдает ошибку "Permission denied", что, вероятно, означает, что разработчики наконец-то узнали об утечке и приняли меры.

Несмотря на инцидент, Tea имеет хорошие отзывы в Play Store и App Store от пользователей, которые считают его более безопасной версией групп в Facebook "Are We Dating the Same Guy?".

Этот инцидент – серьезное напоминание о том, насколько важно обеспечивать безопасность данных пользователей, особенно когда речь идет о конфиденциальной информации, такой как удостоверения личности и личные фотографии. Разработчикам приложений необходимо проявлять должную осмотрительность и принимать все необходимые меры предосторожности для предотвращения подобных утечек в будущем.