Жіноча соціальна платформа Tea зіткнулася з серйозним інцидентом інформаційної безпеки, який призвів до масової компрометації конфіденційних користувацьких даних. Цей випадок яскраво ілюструє критичні недоліки в системі захисту додатка та підкреслює важливість надійного захисту персональної інформації в цифрових сервісах.
Специфіка платформи та її вразливості
Tea функціонує як закрита спільнота для жінок, де учасниці зберігають анонімність при обов’язковій верифікації особи. Процес включає надання селфі та документів для підтвердження особи. Основна мета платформи – надання можливості перевірки інформації про потенційних партнерів та обмін досвідом взаємодії, включаючи виявлення шахрайських схем.
Перший етап компрометації: незахищена база Firebase
Початковий інцидент виявили користувачі форуму 4chan, які знайшли незахищене сховище Firebase з критично важливою інформацією. Скомпрометована база містила:
• Фотографії документів, що посвідчують особу
• Верифікаційні селфі користувачів
• Зображення з коментарів та приватних повідомлень
• Публічний контент додатка
Зловмисники розповсюдили Python-скрипт для автоматичного завантаження даних. Загальний обсяг скомпрометованої інформації перевищив 59 ГБ, включаючи близько 72 000 зображень, з яких приблизно 13 000 становили верифікаційні селфі та фото документів.
Реакція адміністрації платформи
Представники Tea підтвердили, що інцидент торкнувся користувачів, які реєстрували акаунти до 2024 року. Адміністрація пояснила збереження селфі вимогами правоохоронних органів у рамках боротьби з кібербулінгом.
Другий етап: витік приватної кореспонденції
За результатами розслідування 404 Media виявлено додаткову незахищену базу даних з 1,1 мільйона особистих повідомлень користувачів. Ця інформація охоплювала період з 2023 року до моменту виявлення витоку.
Скомпрометовані повідомлення містили обговорення надзвичайно делікатних тем, включаючи медичні процедури, сімейні проблеми та особисті стосунки. У деяких випадках користувачі обмінювалися номерами телефонів для продовження спілкування поза платформою.
Технічний аспект порушення
Дослідник інформаційної безпеки Касра Рахджерді виявив критичну вразливість: будь-який авторизований користувач міг отримати доступ до даних інших учасників, використовуючи власний API-ключ. Додатково знайшли можливість масової розсилки push-сповіщень усім користувачам платформи.
Наслідки для користувачів та порушення анонімності
Поєднання двох витоків створило можливість повної ідентифікації користувачів через зіставлення профілів у соціальних мережах, номерів телефонів та інших персональних даних. Це кардинально порушило основоположний принцип анонімності платформи.
В інтернеті з’явилися ресурси, що експлуатують витікші дані для створення рейтингів зовнішності користувачів на основі їхніх верифікаційних селфі. Такі дії становлять форму цифрового переслідування та порушують гідність постраждалих.
Заходи реагування та відновлення
Адміністрація Tea вжила наступних заходів:
• Відключення системи особистих повідомлень з міркувань безпеки
• Залучення зовнішніх експертів з кібербезпеки
• Повідомлення правоохоронних органів
• Надання безкоштовних послуг захисту від крадіжки особистих даних постраждалим користувачам
Цей інцидент демонструє критичну важливість комплексного підходу до захисту персональних даних у цифрових платформах. Особливу стурбованість викликає факт, що сервіс, який позиціонував себе як безпечний простір для жінок, став джерелом їх потенційної віктимізації. Користувачам цифрових сервісів варто ретельно оцінювати ризики при наданні персональної інформації, а розробникам необхідно застосовувати принципи безпеки на всіх етапах проектування та експлуатації систем.
