Fényképek, jogosítványok, csevegések – mind szabad préda
Egy névtelen internetfelhasználó a 4chanen hozta nyilvánosságra, hogy a Tea nem védett Firebase-tárolójában több mint 59 GB adat, köztük jogosítványok és szelfik, valamint a kommentekhez feltöltött képek voltak elérhetők. A letöltéshez szükséges Python szkriptet is megosztották. A kiszivárgott adatmennyiségből 72 000 kép, köztük 13 000 önarckép és igazolványfotó, illetve 59 000 nyilvános kép származik, amelyeket posztokban, kommentekben és üzenetekben töltöttek fel.
A platformot üzemeltetők szerint ezek a szelfik a törvényi előírások miatt maradtak fenn – így akartak a kibertámadások és zaklatások ellen védekezni. Az adatszivárgás az alkalmazás minden, 2024 előtt regisztrált tagját érinti.
Még súlyosabb a helyzet: 1,1 millió privát üzenet is kikerült
Időközben előkerült egy újabb adatbázis is, amely 1,1 millió privát üzenetet tartalmaz, köztük nagyon érzékeny témákról szóló beszélgetéseket, mint például abortusz, megcsalás vagy bizonytalan baráti kapcsolatok. Ezek a beszélgetések 2023-tól egészen a múlt hétig elérhetőek voltak. Szakértők szerint egyetlen Tea-felhasználó is hozzáférhetett mások adataihoz a saját API-kulcsával. Az üzenetekben nagyon gyakoriak a felismerhető személyazonosságot felfedő adatok: telefonszámok, közösségi profilok.
A hackerek az adatcsomagokat már torrentként is terjesztik, amit bárki letölthet. Valaki már arc-becsmérlő oldalt is létrehozott, ahol a kiszivárgott szelfiket lehet pontozni.
Válaszok, kárenyhítés és folyamatos nyomozás
A Tea továbbra is együttműködik külsős IT-biztonsági szakértőkkel és a hatóságokkal. A támadást követően néhány rendszert azonnal leállítottak, hogy újabb adatszivárgást előzzenek meg, és jelenleg nincs jele további környezetek feltörésének. A cég az érintett felhasználóknak ingyenes személyazonosság-védelmet biztosít, és rendszeres tájékoztatást ígér, amíg a vizsgálat tart.
