แอปพลิเคชันความปลอดภัยสำหรับผู้หญิงที่ให้ผู้ใช้สามารถให้คะแนนและรีวิวผู้ชายได้ ประสบเหตุการณ์ด้านความปลอดภัยที่สำคัญเพียงไม่กี่วันหลังจากที่ขึ้นไปอยู่อันดับต้นๆ ของชาร์ต App Store ของ Apple การละเมิดข้อมูลครั้งนี้ทำให้รูปภาพของผู้ใช้หลายหมื่นรูปถูกเปิดเผย รวมถึงภาพยืนยันตัวตนที่ละเอียดอ่อนและเอกสารประจำตัว ซึ่งเน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับแอปพลิเคชันที่เก็บข้อมูลส่วนบุคคลสำหรับระบบการให้คะแนนที่ก่menimbulkan ความขัดแย้ง
สstatisticsการละเมิด:
- รูปภาพที่ถูกบุกรุกทั้งหมด: 72,000 รูป
- รูปเซลฟี่ยืนยันตัวตนและรูปบัตรประชาชน: 13,000 รูป
- รูปภาพในแอปที่สามารถดูได้สาธารณะ: 59,000 รูป
- อายุของข้อมูล: เก่ากว่า 2 ปี (ระบบเดิม)
- เวลาที่ค้นพบการละเมิด: 6:44 น. เวลา PST วันที่ 25 กรกฎาคม
แนวคิดที่ก่อให้เกิดความขัดแย้งและการเติบโตอย่างรวดเร็วของแอป
Tea ทำการตลาดตัวเองในฐานะแอปความปลอดภัยสำหรับผู้หญิงที่ทำงานคล้ายกับ Yelp แต่แทนที่จะให้คะแนนร้านอาหาร ผู้หญิงจะให้คะแนนและรีวิวผู้ชายที่พวกเขาเคยออกเดทหรือเคยพบแบบไม่เปิดเผยชื่อ แอปนี้ช่วยให้ผู้ใช้สามารถค้นหาผู้ชายคนใดคนหนึ่งโดยใช้ชื่อ ดูรูปภาพ และอ่านรีวิวที่ละเอียดเกี่ยวกับพฤติกรรม รูปลักษณ์ และประวัติความสัมพันธ์ของพวกเขา ผู้ใช้สามารถกำหนดธงแดงหรือธงเขียวให้กับผู้ชาย ซึ่งตามทฤษฎีแล้วจะช่วยให้ผู้หญิงคนอื่นๆ ระบุคู่ครองที่มีศักยภาพหรือหลีกเลี่ยงบุคคลที่มีปัญหาได้
แม้ว่าแอปนี้จะมีอยู่ตั้งแต่ปี 2023 แต่กลับเพิ่งพุ่งขึ้นไปอยู่อันดับต้นๆ ของ App Store ในสัปดาห์นี้ด้วยเหตุผลที่ไม่ชัดเจน แพลตฟอร์มนี้จำกัดการเข้าถึงให้เฉพาะผู้หญิงเท่านั้น โดยต้องมีการยืนยันตัวตนผ่านภาพเซลฟี่ และในบางกรณีต้องใช้รูปภาพบัตรประจำตัวของรัฐบาล ผู้ชายไม่สามารถสร้างบัญชีหรือตอบกลับรีวิวเกี่ยวกับตัวเองได้ ทำให้เกิดระบบการให้คะแนนแบบข้างเดียวโดยไม่มีกระบวนการที่เป็นธรรมหรือกลไกการอุทธรณ์ใดๆ
รายละเอียดแอป:
- ปีที่เปิดตัว: 2023
- อันดับล่าสุด: อันดับ 1 ใน Apple App Store
- ฐานผู้ใช้: ผู้หญิงเท่านั้น (ผู้ชายไม่สามารถสร้างบัญชีได้)
- ข้อกำหนดการยืนยันตัวตน: รูปเซลฟี่และรูปถ่ายบัตรประจำตัวประชาชน
- การเปรียบเทียบแพลตฟอร์ม: คล้ายกับ Yelp แต่สำหรับให้คะแนนผู้ชาย
ขอบเขตและรายละเอียดของการละเมิดความปลอดภัย
ในวันศุกร์ที่ 25 กรกฎาคม เวลา 6:44 น. ตามเวลา PST Tea ยืนยันการเข้าถึงโดยไม่ได้รับอนุญาตในระบบหนึ่งของบริษัท การสอบสวนเบื้องต้นของบริษัทเผยให้เห็นว่ารูปภาพประมาณ 72,000 รูปถูกบุกรุกจากระบบจัดเก็บข้อมูลเก่าที่มีข้อมูลอายุเก่ากว่าสองปี ซึ่งรวมถึงภาพเซลฟี่ยืนยันตัวตนและรูปภาพบัตรประจำตัวประมาณ 13,000 รูปที่ส่งมาระหว่างการสร้างบัญชี รวมทั้งรูปภาพ 59,000 รูปจากโพสต์ ความคิดเห็น และข้อความส่วนตัวที่สามารถดูได้สาธารณะภายในแอปอยู่แล้ว
การละเมิดดูเหมือนจะถูกค้นพบและใช้ประโยชน์โดยผู้ใช้จาก 4chan ซึ่งเป็นฟอรัมอินเทอร์เน็ตที่มีชื่อเสียงในด้านการโฮสต์เนื้อหาที่ก่อให้เกิดความขัดแย้งและแคมเปญการคุกคามแบบประสานงาน รายงานระบุว่าผู้ใช้ 4chan อ้างว่าพบฐานข้อมูลที่เปิดเผยซึ่งโฮสต์บนแพลตฟอร์ม Firebase ของ Google และเริ่มแบ่งปันรูปภาพและข้อมูลส่วนบุคคลที่ได้มาในฟอรัมของพวกเขา จังหวะเวลาของการโจมตีนี้ที่เกิดขึ้นไม่นานหลังจากความนิยมแบบไวรัลของแอป บ่งชี้ถึงการตอบสนองแบบเจาะจงต่อแนวคิดที่ก่อให้เกิดความขัดแย้งของแอป
ช่องโหว่ทางเทคนิคและการตอบสนองของแพลตฟอร์ม
ข้อมูลที่ถูกบุกรุกถูกจัดเก็บในสิ่งที่ Tea อธิบายว่าเป็นระบบจัดเก็บข้อมูลเก่าที่ถูกรักษาไว้เพื่อให้สอดคล้องกับข้อกำหนดของหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องกับการป้องกันการกลั่นแกล้งทางไซเบอร์ รายละเอียดที่ขัดแย้งนี้เน้นย้ำว่าข้อมูลของแอปเอง ที่เก็บรวบรวมเพื่อวัตถุประสงค์ด้านความปลอดภัยตามที่อ้าง กลับกลายเป็นภาระด้านความปลอดภัยเมื่อไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม
Tea ได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์บุคคลที่สามเพื่อสอบสวนเหตุการณ์และรักษาความปลอดภัยระบบของพวกเขา บริษัทอ้างว่าไม่มีหลักฐานว่าข้อมูลผู้ใช้ปัจจุบันหรือข้อมูลบัญชีที่ใหม่กว่าได้รับผลกระทบ แม้ว่าสิ่งนี้จะให้ความสบายใจเพียงเล็กน้อยแก่ผู้ใช้หลายพันคนที่รูปภาพส่วนตัวและเอกสารประจำตัวของพวกเขากำลังหมุนเวียนในฟอรัมอินเทอร์เน็ตที่เป็นที่รู้จักในด้านการคุกคามและการเปิดเผยข้อมูลส่วนตัว
โครงสร้างพื้นฐานด้านความปลอดภัย:
- แพลตฟอร์มจัดเก็บข้อมูล: Google Firebase
- การจำแนกข้อมูล: ระบบเก่าสำหรับการปฏิบัติตามกฎหมายการบังคับใช้กฎหมาย
- มาตรการตอบสนอง: ได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์บุคคลที่สาม
- ช่องทางการโจมตี: ฐานข้อมูลที่เปิดเผยถูกค้นพบโดยผู้ใช้ 4chan
ผลกระทบที่กว้างขึ้นต่อความเป็นส่วนตัวและความปลอดภัยดิจิทัล
เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงที่แท้จริงของแอปพลิเคชันที่เก็บรวบรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อน โดยเฉพาะอย่างยิ่งแอปที่มีโมเดลธุรกิจที่ก่อให้เกิดความขัดแย้งซึ่งอาจดึงดูดการโจมตีแบบเจาะจง การละเมิดนี้แสดงให้เห็นว่าแพลตฟอร์มดิจิทัลสามารถกลายเป็นเหยื่อของความสำเร็จของตัวเองได้อย่างรวดเร็วเพียงใด โดยเฉพาะอย่างยิ่งเมื่อความสำเร็จนั้นมาพร้อมกับความขัดแย้งที่มีอยู่แล้วซึ่งกระตุ้นให้ผู้ที่มีเจตนาร้ายลงมือ
แอป Tea เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้นของบริการ Yelp สำหรับคน และกลุ่ม Facebook Are We Dating the Same Guy? ที่เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมา แม้ว่าผู้สนับสนุนจะโต้แย้งว่าแพลตฟอร์มเหล่านี้ช่วยให้ผู้หญิงระบุคู่ครองที่อาจเป็นอันตรายได้ แต่นักวิจารณ์กังวลเกี่ยวกับการขาดกระบวนการที่เป็นธรรม ศักยภาพของการกล่าวหาเท็จ และผลกระทบต่อความเป็นส่วนตัวของระบบการให้คะแนนที่นำไปใช้กับมนุษย์
การเพิ่มขึ้นอย่างรวดเร็วจากความนิยมแบบไวรัลสู่การละเมิดความปลอดภัยทำหน้าที่เป็นเรื่องเล่าเตือนใจเกี่ยวกับจุดตัดระหว่างแพลตฟอร์มโซเชียลที่ก่อให้เกิดความขัดแย้ง มาตรการความปลอดภัยที่ไม่เพียงพอ และผู้โจมตีที่มีแรงจูงใจ สำหรับผู้ใช้ที่ส่งภาพยืนยันตัวตนให้กับ Tea การละเมิดนี้เป็นเครื่องเตือนใจอย่างชัดเจนว่าข้อมูลส่วนบุคคลที่แบ่งปันกับแอปใดๆ สามารถเปิดเผยต่อสาธารณะได้ โดยไม่คำนึงถึงการป้องกันความเป็นส่วนตัวที่แพลตฟอร์มระบุไว้