Tea, aplikacja do randkowania dla kobiet, informuje o kradzieży 72 tysięcy zdjęć użytkowniczek
25 lipca 2025 roku o godzinie 6.44 doszło do wycieku 72 tysięcy zdjęć należących do użytkowniczek serwisu Tea — w tym 13 tysięcy headshotów i/lub zdjęć dokumentów tożsamości, jak i też 59 tysięcy zdjęć, które były ogólnie dostępne dla społeczności serwisu.
https://kontrabanda.net/r/tea-wyciek-danych-72-tysiace-zdjec/
#kontrabanda #informacje #cyberbezpieczeństwo #randkowanie_internetowe
Za takie coś powinni ostro beknąć. Zwłaszcza to nieusuwanie zdjęć dowodów osobistych zaraz po weryfikacji. Inną sprawą jest to, że ufanie jakimś losowym aplikacjom, że zabezpieczą takie dane bywa naiwne.
@Dziwen
opornik kiedy ktoś napisze "losowe" a nie "randomowe"
@Dziwen nie bekną, w USA nie ma odgórnych regulacji w stylu europejskiego rodo i prawdopodobnie jedyny sposób, w jaki mogliby zostać dojechani, to pozew zbiorowy od poszkodowanych użytkowniczek
@Opornik a kusiło. xD
podobno baza danych nie miala hasla i byla wystawiona na internet
@5tgbnhy6 Źródło?
@5tgbnhy6 Cholera faktycznie ( ͡° ͜ʖ ͡°)
@rith Trafiłeś ( ͡o ͜ʖ ͡o)
@Marchew jedyne osoby, ktore moga potwierdzic albo zaprzeczyc to leakerzy/hackerzy i tworcy apki. ani jedni ani drudzy nie sa wiarygodni, wiec nie dostaniesz oficjalnie potwierdzonego zrodla, dlatego napisalem, ze podobno
@Marchew o tak się żyje w tym IT. Ile to ja razy musiałem słuchać gadania o super AI, a potem wchodzisz w ich konfigurację/chmure i się zastanawiasz kto im tak spierdolił
@kontrabanda gdy vibe coding wejdzie za mocno. Kto by tam chciał płacić profesjonalnym bezpiecznikom ( ͡° ͜ʖ ͡°)
@Opornik tak, dokładnie o to mi chodziło
Chat GPT
Oto techniczne szczegóły dotyczące wycieku danych z aplikacji Tea oraz przebieg incydentu — bez ujawniania danych samych użytkowników:
Jak doszło do wycieku?
Legacy storage i niewłaściwa konfiguracja Firebase
Dane pochodziły głównie z archiwalnego systemu przechowywania (legacy storage), w którym znajdowało się około 72 000 obrazów – w tym 13 000 weryfikacyjnych selfie i zdjęć dowodów tożsamości, oraz 59 000 zdjęć z postów, komentarzy i wiadomości
Serwis wykorzystuje Google Firebase, ale zasobnik danych (bucket) był skonfigurowany z ustawieniami domyślnymi — bez zabezpieczeń takich jak uwierzytelnienie, szyfrowanie czy kontrola dostępu. Skutkiem była możliwość pobierania zawartości bez logowania się.
Kod generowany przez AI („vibe coding”) bez zabezpieczeń
Firma bardzo polegała na AI (np. generowanie kodu przez ChatGPT) bez wystarczających przeglądów bezpieczeństwa. Eksperci wskazują, że AI-generated code może zawierać liczne luki – co w tym wypadku doprowadziło do pozbawienia prywatnych danych jakiejkolwiek ochrony.
Brak szyfrowania i autoryzacji
Okazało się, że baza była publicznie dostępna — bez szyfrowania, bez wymogu logowania oraz bez ograniczeń typu "read-only". Atakujący mogli przeglądać, kopiować, a często także automatycznie pobierać dane.
Jak ujawniono wyciek?
Incydent został wykryty poprzez publikację linku na 4chanie, gdzie użytkownicy chwalili się dostępem do tej bazy i jej zawartością.
Portal 404 Media jako pierwszy poinformował o wycieku, a następnie informacje były powielane przez inne media (Business Insider, Washington Post, Reuters, Barron’s), powołując się na potwierdzenia firmy Tea.
Aplikacja zareagowała prawdopodobnie w piątek 25 lipca 2025 r., zaraz po zidentyfikowaniu nieautoryzowanego dostępu o godzinie 6:44 AM PST (czyli ok. 15:44 czasu warszawskiego).
Podsumowanie przyczyn incydentu
Problem Co się wydarzyło
Publiczny dostęp do danych był otwarty, dane dostępne publicznie
Brak autoryzacji i szyfrowania Żadne zabezpieczenia warstwy dostępu nie były stosowane
Archiwum pozostawione otwarte Dane starsze niż luty 2024 leżały niechronione
Brak audytu AI‑code Automatycznie wygenerowany kod nie przeszedł bezpeiczeń testów
@Marchew Publicznie dostępne buckety to klasyka gatunku (bo nikt nie umie dobrze skonfigurować vnetów i privatelinków xdd), ale cała reszta to jest next level spierdolenia.
Zaloguj się aby komentować
