O que começou como uma preocupante falha de segurança na aplicação Tea, uma plataforma de encontros exclusiva para mulheres, escalou para uma violação de privacidade de enormes proporções. A fuga de dados inicial foi agora agravada pela descoberta de uma segunda base de dados que contém, alegadamente, 1.1 milhões de mensagens privadas trocadas entre as utilizadoras da plataforma, com o conteúdo roubado a ser partilhado em fóruns de hacking.
O escândalo agrava-se com nova fuga de dados
A Tea, que se promovia como um espaço seguro onde as mulheres podiam partilhar experiências sobre homens, exigia uma selfie e a verificação de um documento de identificação governamental para garantir a exclusividade feminina da plataforma. No entanto, a segurança prometida foi quebrada de forma devastadora.
Para piorar a situação inicial, o site 404 Media avança agora que foi encontrada uma base de dados adicional com 1.1 milhões de mensagens privadas. Este conjunto de dados é muito mais recente, abrangendo o período de 2023 até à semana passada, e inclui discussões sobre tópicos extremamente sensíveis, como abortos, traições de maridos e namorados. Segundo a mesma fonte, é possível identificar as utilizadoras através de perfis de redes sociais, números de telemóvel ou outros detalhes pessoais revelados nas conversas.
A falha de segurança original
O incidente começou quando um utilizador anónimo publicou no 4chan que a aplicação Tea utilizava um sistema de armazenamento na nuvem (Firebase) desprotegido. Este sistema continha as cartas de condução e selfies enviadas pelas utilizadoras para verificação, bem como fotos e imagens partilhadas em comentários. Foi até partilhado um script em Python que permitia descarregar os dados do sistema, que entretanto já foi protegido.
No total, mais de 59 GB de dados foram expostos. A própria Tea confirmou a falha num comunicado público sobre o incidente de cibersegurança, afirmando que afeta utilizadoras que se registaram antes de fevereiro de 2024. O comunicado detalha que "um sistema de armazenamento de dados legado foi comprometido, resultando no acesso não autorizado a um conjunto de dados anterior a fevereiro de 2024". Este conjunto incluía aproximadamente 72.000 imagens, das quais 13.000 eram selfies e fotos de identificação e 59.000 eram imagens publicamente visíveis na app.
Consequências devastadoras para as utilizadoras
Os cibercriminosos não perderam tempo e já começaram a partilhar torrents com os dados roubados em fóruns de hacking, expondo as membras da aplicação a ataques de engenharia social e outras formas de assédio. O que era para ser um refúgio seguro para mulheres transformou-se numa ferramenta para as humilhar. A situação chegou ao ponto de ter sido criado um site ao estilo "facesmash", onde os visitantes podem avaliar as selfies das utilizadoras expostas na fuga de dados.
A Tea afirma que continua a trabalhar com especialistas externos em cibersegurança para conter o incidente e conduzir uma investigação completa. A empresa também notificou as autoridades policiais, que estão a colaborar na investigação.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech