Uma aplicação de encontros que se tornou viral recentemente, a "Tea", prometia criar um ambiente mais seguro para as mulheres, permitindo-lhes partilhar anonimamente fotos de homens e assinalar "red flags". No entanto, a promessa de segurança foi ironicamente quebrada por uma grave falha que expôs os dados de verificação das suas próprias utilizadoras.
Uma missão de segurança traída por uma falha de principiante
A premissa da Tea, que existe desde 2023, é simples: oferecer um espaço para as mulheres partilharem as suas experiências e preocupações sobre encontros. O marketing da aplicação, visível no seu site oficial, foca-se na missão de "criar um ambiente de encontros mais seguro para as mulheres". Contudo, a controvérsia em torno do seu método ajudou a catapultá-la para os tops das lojas de aplicações, e agora, essa fama vem acompanhada da sua primeira grande crise de segurança, cortesia de utilizadores do fórum 4chan.
O desastre originou-se de um erro clássico e grosseiro de desenvolvimento. Os criadores da Tea deixaram uma base de dados do backend completamente desprotegida na plataforma Firebase da Google. O Firebase é conhecido por agilizar o desenvolvimento, mas as suas configurações de segurança padrão podem ser desastrosamente permissivas se não forem devidamente ajustadas antes do lançamento de uma aplicação.
Milhares de fotos e documentos de identificação expostos
Os dados no Firebase são armazenados em "buckets", que funcionam essencialmente como pastas de armazenamento na nuvem. O bucket vulnerável da Tea continha precisamente os dados que a aplicação exige para verificar a identidade das suas utilizadoras: selfies e fotografias de documentos de identificação, necessários para confirmar que são mulheres.
Não demorou muito para que utilizadores do 4chan descobrissem esta porta aberta. Um utilizador do fórum afirmou: "Sim, se enviou a sua cara e a sua carta de condução para a App Tea, eles expuseram-no publicamente!". Outro chegou mesmo a garantir ter descarregado cerca de 3000 imagens antes de o servidor impor um limite à sua atividade.
A informação pessoal foi descrita como estando "crua e sem censura". De acordo com os Termos de Utilização, citados pela 404Media, para além das fotos, as utilizadoras têm de submeter a sua localização e data de nascimento. Toda esta informação esteve, alegadamente, acessível. A 404Media reporta que, durante algum tempo, qualquer pessoa com o URL correto conseguia visualizar uma lista de ficheiros das utilizadoras. Essa página foi, entretanto, bloqueada e agora devolve um erro de "Permissão negada", um sinal de que os developers finalmente se aperceberam da fuga de informação.
Nenhum comentário
Seja o primeiro!