Tea-App Datenleck: Massive Sicherheitsverletzung gefährdet Millionen von Nutzerinnen

CyberSecureFox 🦊

Die Frauen-Community-Plattform Tea wurde Opfer einer schwerwiegenden Datenschutzverletzung, die vertrauliche Informationen von Millionen Nutzerinnen preisgab. Der Vorfall verdeutlicht kritische Schwachstellen in der Sicherheitsarchitektur moderner Social-Media-Anwendungen und unterstreicht die Bedeutung robuster Datenschutzmaßnahmen.

Hintergrund der betroffenen Plattform

Tea funktioniert als geschlossene Online-Community ausschließlich für Frauen, in der Mitglieder anonym bleiben können, jedoch eine obligatorische Identitätsprüfung durchlaufen müssen. Der Verifizierungsprozess erfordert die Übermittlung von Selfies und Ausweisdokumenten. Die Hauptfunktion der Plattform besteht darin, Informationen über potenzielle Partner zu überprüfen und Erfahrungen mit Männern auszutauschen, einschließlich der Identifizierung von Betrügereien und falschen Angaben.

Erste Phase: Kompromittierung der Firebase-Datenbank

Der initiale Sicherheitsvorfall wurde von Nutzern des 4chan-Forums entdeckt, die eine ungesicherte Firebase-Datenbank mit sensiblen Informationen identifizierten. Die kompromittierte Datenbank enthielt:

• Fotos von Identitätsdokumenten
• Verifizierungs-Selfies der Nutzerinnen
• Bilder aus Kommentaren und privaten Nachrichten
• Öffentlich zugängliche App-Inhalte

Cyberkriminelle entwickelten ein Python-Skript zur automatisierten Datenextraktion. Das Gesamtvolumen der kompromittierten Informationen überstieg 59 GB und umfasste etwa 72.000 Bilder, davon rund 13.000 Verifizierungs-Selfies und Ausweisfotos.

Stellungnahme des Unternehmens

Die Plattform-Betreiber bestätigten, dass der Vorfall Nutzerinnen betraf, die ihre Konten vor 2024 registriert hatten. Das Unternehmen rechtfertigte die Speicherung der Selfies mit Anforderungen der Strafverfolgungsbehörden zur Cybermobbing-Prävention.

Zweite Welle: Kompromittierung privater Kommunikation

Untersuchungen von 404 Media deckten eine zusätzliche ungesicherte Datenbank mit 1,1 Millionen privaten Nachrichten auf. Diese Informationen erstreckten sich von 2023 bis zum Zeitpunkt der Entdeckung der Datenpanne.

Die gestohlenen Nachrichten enthielten Diskussionen über äußerst sensible Themen, darunter medizinische Eingriffe, familiäre Probleme und persönliche Beziehungen. In einigen Fällen tauschten Nutzerinnen Telefonnummern für die weitere Kommunikation außerhalb der Plattform aus.

Technische Analyse der Sicherheitslücken

Der Cybersecurity-Forscher Kasra Rahjerdi identifizierte eine kritische Schwachstelle: Jeder authentifizierte Nutzer konnte mit seinem eigenen API-Schlüssel auf Daten anderer Teilnehmerinnen zugreifen. Zusätzlich wurde die Möglichkeit entdeckt, Push-Benachrichtigungen massenhaft an alle Plattform-Nutzerinnen zu versenden.

Auswirkungen auf die Nutzerinnen

Die Kombination beider Datenlecks ermöglichte die vollständige Identifizierung von Nutzerinnen durch Abgleich von Social-Media-Profilen, Telefonnummern und anderen persönlichen Daten. Dies untergrub das fundamentale Anonymitätsprinzip der Plattform vollständig.

Im Internet entstanden Websites, die die gestohlenen Daten zur Erstellung von Attraktivitäts-Rankings basierend auf Verifizierungs-Selfies nutzten. Solche Aktivitäten stellen eine Form digitaler Belästigung dar und verletzen die Würde der Betroffenen.

Schadensbegrenzung und Wiederherstellungsmaßnahmen

Die Tea-Administration ergriff folgende Maßnahmen:

• Deaktivierung des privaten Nachrichtensystems aus Sicherheitsgründen
• Beauftragung externer Cybersecurity-Experten
• Benachrichtigung der Strafverfolgungsbehörden
• Bereitstellung kostenloser Identitätsschutz-Services für betroffene Nutzerinnen

Dieser Vorfall verdeutlicht die kritische Bedeutung umfassender Datenschutzstrategien für digitale Plattformen. Besonders besorgniserregend ist, dass ein Service, der sich als sicherer Raum für Frauen positionierte, zur Quelle ihrer potenziellen Viktimisierung wurde. Nutzerinnen digitaler Dienste sollten Risiken bei der Weitergabe persönlicher Informationen sorgfältig bewerten, während Entwickler Sicherheitsprinzipien in allen Phasen des Systemdesigns und -betriebs implementieren müssen.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.