Skulle beskytte kvinner i dating – data lå åpent, lekka på 4chan
Kvinner skulle kunne føle seg tryggere på datingapper, ved å dele erfaringer på Tea. Det var før selfier og bilder av førerkort endte opp på 4chan.
Se for deg at det finnes en app der single kvinner kan laster opp selfier, foto-ID og annen personlig informasjon.
Se så for deg hvor attraktivt mål det vil kunne være for "feil" miljøer, hvor viktig det vil være med sikkerhet på en slik app og hvor alvorlig det vil være om den svikter.
Dette er historien om Tea, en app hvor single kvinner skulle kunne diskutere dating, og hvor «alt» er gått galt.
Forsikret om at det var gamle data
Tanken bak Tea har vært at kvinner, i tillegg til å diskutere dating, også skulle kunne dele sine erfaringer om mennene de har møtt på datingapper. Kanskje til og med si fra dersom en mann i realiteten er gift, er en løgner eller noe enda verre.
Fredag kunne 404 Media fortelle hvordan brukere fra det «kontroversielle» forumet 4chan hadde klart å finne en ubeskytta database fra Tea på tjenesten Firebase. Denne var satt til public. Det førte til at personlig data og bilder ble lekka.
Ifølge Tea selv, skal rundt 72.000 bilder være lekka. Av disse er 13.000 enten selfier eller ID-dokumenter som er lagt inn for å verfisere brukerne. De siste 59.000 skal være fra innlegg som er delt offentlig mellom brukerne.
Problemet skal kun gjelde brukere som registrerte seg før februar 2024, skriver de på sine nettsider.
I en oppfølgingsmelding denne uka, skriver de at muligheten for å sende direktemeldinger i appen, er skrudd av etter at det har vist seg at det har vært mulig å få tilgang på "noen" direktemeldinger.
Appen skrøt så sent som sist torsdag av at de da hadde passert mer enn fire millioner brukere.
Men mye skal ha vært ganske nytt
Tea skrev i sin første melding at det ikke var mulig å koble bildene mot brukere, og at ingen epost eller telefonnummer var lekka.
Dette skal ikke stemme, skriver 404 Media i en ny sak om problemene til Tea. Denne kom i forkant av at Tea kunngjorde at de stengte ned direktemeldingene.
En uavhengig sikkerhetsekspert skal ha klart å få tilgang på over 1,1 millioner meldinger mellom brukere, om temaer som aborter, utro partnere og telefonnummer som brukerne sendte til hverandre.
Det skal også være snakk om langt nyere innhold. Ifølge eksperten skal det være meldinger som var så ferske som én uke gamle, og 404 Media har verifisert.
I tillegg skal eksperten hevde at hen har funnet en måte å sende push-meldinger til alle Tea-brukere.
Truer med søksmål
Joseph Cox, en av journalistene som først skrev om saken hos 404 Media, deler i en lengre tråd på Bluesky informasjon om hvordan de har jobbet med saka.
– Vi verifiserte dette delvis ved å ta URL-en fra den spesifikke Firebase-bucketen som inneholdt de eksponerte bildene, og sjekka om denne matcha den Tea bruker. Det gjorde jeg ved å laste ned Tea APK-en, decompile den og finne den der. Det matcha.
Cox forteller videre at mens de jobba med saken, kunne han etterhvert se at tilgangen ble skrudd av i sanntid.
Han påpeker også at 404 informerte Tea om de lekkede meldingene lørdag, og at selskapet først agerte med å stenge ned meldingsdelen av tjenesten mandag.
Det er ikke uventa mye oppmerksomhet rundt hendelsen også på andre forum som Reddit. Der deler brukere blant annet skjermbilder av det som skal vise «før»-bilder fra Firebase, mens andre etterspør tilgang på nedlasta filer.
404 kan melde om at flere av Teas brukere varsler et gruppesøksmål mot tjenesten.
