O vazamento de dados do aplicativo Tea cresceu para se tornar um vazamento ainda maior, com os dados roubados agora compartilhados em fóruns de hacking e uma segunda base de dados descoberta, que supostamente contém 1.1 milhão de mensagens privadas trocadas entre os membros do aplicativo.
O Tea é uma plataforma de segurança em relacionamentos para mulheres, onde as membros podem compartilhar avaliações sobre homens, sendo o acesso à plataforma concedido apenas após o fornecimento de uma selfie e a verificação de um documento de identificação governamental.
Na sexta-feira(25), um usuário anônimo postou no 4chan que o Tea usou um bucket de armazenamento Firebase desprotegido para armazenar carteiras de motorista e selfies enviadas pelas membros para verificar se são mulheres, assim como fotos e imagens compartilhadas em comentários.
O usuário compartilhou um script Python que poderia ser usado para baixar os dados do bucket de armazenamento, agora seguro.
No total, mais de 59 GB de dados foram expostos no vazamento, com o Tea confirmando em uma declaração pública que isso afeta usuários que se inscreveram antes de 2024.
"Um sistema de armazenamento de dados legado foi comprometido, resultando em acesso não autorizado a um conjunto de dados de antes de fevereiro de 2024," lê-se no anúncio de violação de segurança.
"Este conjunto de dados inclui aproximadamente 72,000 imagens, incluindo aproximadamente 13,000 selfies e identificação fotográfica submetida pelos usuários durante a verificação de conta e aproximadamente 59,000 imagens publicamente visíveis no aplicativo de postagens, comentários e mensagens diretas."
A plataforma afirma que as selfies não foram deletadas conforme esperado, para cumprir com os requisitos de aplicação da lei relacionados à prevenção de cyber-bullying.
Os atores de ameaças agora começaram a compartilhar torrents dos dados vazados em fóruns de hacking, potencialmente expondo os membros do aplicativo a ataques de engenharia social.
O site BleepingComputer confirmou que os dados compartilhados contêm carteiras de motorista, selfies e anexos de mensagens.
Para piorar a situação, a 404 Media agora relata que uma base de dados adicional foi encontrada contendo 1.1 milhão de mensagens privadas enviadas entre usuários na plataforma Tea.
Esta base de dados contém dados muito mais recentes, variando de 2023 até a semana passada, e supostamente inclui mensagens discutindo tópicos sensíveis, como abortos, maridos infiéis e namorados que traem.
Segundo a 404 Media, é possível identificar usuários com base em perfis de mídia social, números de telefone ou outros detalhes pessoais revelados nas mensagens.
O que era para ser um espaço seguro para mulheres agora se tornou uma ferramenta para envergonhá-las, com alguém até mesmo criando um site estilo "facesmash" onde visitantes podem avaliar as selfies expostas nos dados vazados.
O Tea diz que continua a trabalhar com especialistas em cibersegurança terceirizados para conter o incidente e conduzir uma investigação sobre o ataque.
O aplicativo diz que também notificou a aplicação da lei, que está auxiliando na investigação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...