La plataforma social femenina Tea experimentó una grave brecha de seguridad que expuso información confidencial de miles de usuarias, incluyendo documentos de identidad, fotografías personales y más de un millón de mensajes privados. Este incidente subraya las vulnerabilidades críticas en la arquitectura de seguridad de aplicaciones que manejan datos sensibles.
Características de la plataforma comprometida
Tea opera como una comunidad cerrada exclusivamente femenina donde las participantes mantienen el anonimato tras completar un riguroso proceso de verificación. Las usuarias deben proporcionar selfies y documentos oficiales de identidad para acceder a funciones que incluyen verificación de información sobre potenciales parejas románticas y compartir experiencias sobre interacciones con hombres, incluyendo la identificación de esquemas fraudulentos.
Primera fase: compromiso de la base de datos Firebase
Usuarios del foro 4chan descubrieron inicialmente un repositorio Firebase desprotegido que contenía información crítica de verificación. La base de datos comprometida incluía:
• Documentos de identidad oficiales fotografiados
• Selfies de verificación de cuentas
• Imágenes compartidas en comentarios y mensajes directos
• Contenido público de la aplicación
Los atacantes distribuyeron scripts de Python para la extracción automatizada de datos, resultando en más de 59 GB de información filtrada. El volumen total abarcó aproximadamente 72,000 imágenes, de las cuales 13,000 correspondían a selfies de verificación y fotografías de documentos oficiales.
Respuesta oficial de la administración
Los representantes de Tea confirmaron que el incidente afectó específicamente a usuarias registradas antes de 2024. La administración justificó el almacenamiento de selfies como un requerimiento de las autoridades para prevenir el ciberacoso en la plataforma.
Segunda oleada: exposición de comunicaciones privadas
Una investigación posterior de 404 Media reveló una segunda base de datos desprotegida conteniendo 1.1 millones de mensajes privados que abarcaban desde 2023 hasta el momento del descubrimiento. Estas comunicaciones incluían discusiones sobre temas extremadamente sensibles como procedimientos médicos, problemas familiares y relaciones íntimas.
En varios casos, las usuarias intercambiaron números telefónicos para continuar conversaciones fuera de la plataforma, información que ahora está públicamente expuesta.
Análisis técnico de las vulnerabilidades
El investigador de seguridad Kasra Rahjerdi identificó una falla crítica en el sistema: cualquier usuario autenticado podía acceder a datos de otros participantes utilizando su propia clave API. Adicionalmente, se descubrió la capacidad de envío masivo de notificaciones push a toda la base de usuarios sin restricciones apropiadas.
Impacto en la privacidad de las usuarias
La combinación de ambas filtraciones permite la identificación completa de usuarias mediante correlación cruzada con perfiles de redes sociales, números telefónicos y otros datos personales. Esta situación destruye completamente el principio fundamental de anonimato que caracterizaba a la plataforma.
Han surgido sitios web que explotan los datos filtrados para crear clasificaciones de apariencia física basadas en los selfies de verificación, constituyendo una forma de acoso digital sistemático que viola la dignidad de las afectadas.
Medidas de contención implementadas
La administración de Tea ejecutó las siguientes acciones correctivas:
• Desactivación temporal del sistema de mensajería por motivos de seguridad
• Contratación de consultores externos especializados en ciberseguridad
• Notificación formal a las autoridades competentes
• Provisión gratuita de servicios de protección contra robo de identidad
Este incidente ilustra la importancia crítica de implementar arquitecturas de seguridad robustas desde el diseño inicial de plataformas digitales. Resulta particularmente preocupante que un servicio promocionado como espacio seguro para mujeres se convirtiera en fuente de su potencial victimización. Los usuarios deben evaluar cuidadosamente los riesgos al compartir información personal, mientras que los desarrolladores deben priorizar la seguridad en cada fase del ciclo de vida del software para prevenir exposiciones similares.
