แอปความปลอดภัยในการเดทสำหรับผู้หญิงยอดนิยมที่ชื่อ Tea ประสบกับการละเมิดความปลอดภัยอย่างร้ายแรงที่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ประมาณ 30,000 คน รวมถึงใบขับขี่ รูปเซลฟี่ และข้อมูลตำแหน่ง GPS การละเมิดนี้ไม่ได้เกิดจากการแฮกที่ซับซ้อน แต่เพราะแอปเก็บข้อมูลผู้ใช้ที่ละเอียดอ่อนไว้ใน Firebase storage bucket ที่เปิดเผยต่อสาธารณะอย่างสมบูรณ์ซึ่งทุกคนบนอินเทอร์เน็ตสามารถเข้าถึงได้
Tea ซึ่งขึ้นไปอยู่อันดับต้นของ App Store charts ในสัปดาห์นี้ ถูกออกแบบมาเพื่อช่วยให้ผู้หญิงแบ่งปันข้อมูลเกี่ยวกับผู้ชายที่พวกเธอเคยเดทเพื่อส่งเสริมความปลอดภัย ผู้ใช้ต้องยืนยันตัตนโดยการอัปโหลดรูปเซลฟี่และรูปใบขับขี่ อย่างไรก็ตาม เอกสารที่ละเอียดอ่อนเหล่านี้ถูกเก็บไว้โดยไม่มีการป้องกันความปลอดภัยใดๆ เลย
สстатิสติการละเมิดข้อมูล:
- ผู้ใช้ที่ได้รับผลกระทบ: ผู้ใช้ประมาณ 30,000 คน
- ปริมาณข้อมูล: ข้อมูลส่วนบุคคล 60GB
- ประเภทข้อมูลที่รั่วไหล: ใบขับขี่, รูปเซลฟี่, ชื่อผู้ใช้, อีเมล, ประวัติการแชท, พิกัด GPS
- แพลตฟอร์มการจัดเก็บ: Firebase (แพลตฟอร์มพัฒนาแอปมือถือของ Google )
- ระดับความปลอดภัย: บัคเก็ตสาธารณะที่ไม่ต้องการการยืนยันตัวตน
ขอบเขตของการเปิดเผยข้อมูล
ข้อมูลที่รั่วไหลมีมากกว่าแค่รูปภาพยืนยันตัวตน ผู้ใช้บน 4chan ค้นพบฐานข้อมูลที่เปิดเผยและเริ่มดาวน์โหลดข้อมูลขนาด 60GB อย่างเป็นระบบ ซึ่งรวมถึงใบขับขี่ รูปเซลฟี่ ชื่อผู้ใช้ ที่อยู่อีเมล ประวัติการแชท และพิกัด GPS จาก metadata ของรูปภาพ มีคนสร้างแผนที่สาธารณะที่แสดงตำแหน่งของผู้ใช้ทั้ง 30,000 คนจากข้อมูลตำแหน่งนี้ด้วย
การละเมิดนี้ได้สร้างไฟล์ torrent ที่บรรจุข้อมูลทั้งหมดนี้ ซึ่งขณะนี้กำลังถูกแจกจ่ายอย่างกว้างขวางบนออนไลน์ นี่หมายความว่าความเสียหายขยายไปไกลกว่าการค้นพบครั้งแรก เนื่องจากข้อมูลนี้ขณะนี้พร้อมใช้งานอย่างถาวรสำหรับทุกคนที่ต้องการเข้าถึง
ความประมาทเลินเล่อทางเทคนิคที่อยู่เบื้องหลังการละเมิด
ความล้มเหลวด้านความปลอดภัยดูเหมือนจะเกิดจากการนำไปใช้ทางเทคนิคที่แย่มาก แอปใช้ Firebase ซึ่งเป็นแพลตฟอร์มพัฒนาแอปมือถือของ Google แต่กำหนดค่าให้เป็น public bucket ที่ไม่ต้องการการยืนยันตัวตน นี่หมายความว่าทุกคนที่รู้ URL สามารถเข้าถึงไฟล์ที่เก็บไว้ทั้งหมดได้โดยตรงผ่านเว็บเบราว์เซอร์
DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN! โพสต์โดยผู้ใช้ 4chan คนหนึ่งที่ค้นพบช่องโหว่ ซึ่งเน้นให้เห็นว่าข้อมูลเข้าถึงได้ง่ายเพียงใด
การสนทนาในชุมชนเผยให้เห็นว่านี่ไม่ใช่การโจมตีทางไซเบอร์ที่ซับซ้อน แต่เป็นความเข้าใจผิดพื้นฐานเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน ผู้ใช้หลายคนได้สร้างสคริปต์อัตโนมัติเพื่อดาวน์โหลดฐานข้อมูลทั้งหมด และบริษัทเพิ่งรักษาความปลอดภัย bucket หลังจากการละเมิดกลายเป็นที่รู้จักสาธารณะ
รายละเอียดทางเทคนิค:
- แพลตฟอร์ม: Firebase storage bucket
- วิธีการเข้าถึง: การเข้าถึงผ่าน URL โดยตรง (ไม่จำเป็นต้องแฮก)
- รูปแบบข้อมูล: ไฟล์ที่ไม่ได้เข้ารหัส
- วิธีการค้นพบ: ผู้ใช้ 4chan พบฐานข้อมูลที่เปิดเผย
- เครื่องมืออัตโนมัติ: มีการสร้างสคริปต์หลายตัวสำหรับดาวน์โหลดข้อมูลจำนวนมาก
ผลกระทบทางกฎหมายและความปลอดภัย
การละเมิดนี้สร้างความกังวลด้านความปลอดภัยอย่างจริงจังสำหรับผู้หญิงที่ได้รับผลกระทบ ผู้ใช้แอปความปลอดภัยในการเดทหลายคนอาจมีคำสั่งห้ามเข้าใกล้คู่ครองที่มีความรุนแรงหรือกำลังพยายามหลบหนีจากความสัมพันธ์ที่มีการทารุณกรรม การที่ข้อมูลส่วนบุคคลของพวกเธอ รวมถึงที่อยู่บ้านที่ได้มาจากข้อมูล GPS ถูกเปิดเผยออนไลน์อาจทำให้พวกเธออยู่ในอันตรายทางร่างกาย
เหตุการณ์นี้ยังทำให้เกิดคำถามเกี่ยวกับฟังก์ชันหลักของแอป Tea อนุญาตให้ผู้ใช้โพสต์รูปภาพและข้อมูลเกี่ยวกับผู้ชายโดยไม่ได้รับความยินยอม ซึ่งสร้างสิ่งที่นักวิจารณ์เรียกว่าแพลตฟอร์ม doxxing ความประชดประชันที่ผู้ใช้แอป doxxing ถูก doxx เองนั้นไม่ได้หลุดจากสายตาของผู้สังเกตการณ์
ผู้เชี่ยวชาญด้านกฎหมายแนะนำว่าบริษัทเผชิญกับคดีฟ้องร้องหมู่และคดีแพ่งรายบุคคลที่อาจเกิดขึ้น การจัดการข้อมูลที่ละเอียดอ่อนอย่างประมาทเลินเล่อ โดยเฉพาะใบขับขี่ซึ่งถือเป็นเอกสารประจำตัวของรัฐบาล อาจส่งผลให้เกิดการลงโทษทางการเงินที่สำคัญและความรับผิดทางอาญา
ไทม์ไลน์ของเหตุการณ์:
- เปิดตัวแอป: 2023 (ขึ้นอันดับ 1 ใน App Store ในเดือนกรกฎาคม 2025)
- การค้นพบการละเมิด: 25 กรกฎาคม 2025 เวลา 6:44 น. PST
- การกระจายข้อมูล: ข้อมูลถูกแชร์บน 4chan และกระจายผ่าน torrent
- การตอบสนองของบริษัท: แถลงการณ์อย่างเป็นทางการถูกโพสต์หลังจากเปิดเผยต่อสาธารณะ
การตอบสนองของบริษัทและผลกระทบต่ออุตสาหกรรม
การตอบสนองอย่างเป็นทางการของ Tea อ้างว่าพวกเขาระบุการเข้าถึงโดยไม่ได้รับอนุญาตในระบบของพวกเขา แต่การกำหนดกรอบนี้ถูกวิจารณ์ว่าทำให้เข้าใจผิดเนื่องจากข้อมูลสามารถเข้าถึงได้สาธารณะตั้งแต่เริ่มต้น บริษัทยอมรับว่าพวกเขาเก็บรูปภาพยืนยันตัวตนของผู้ใช้ไว้นานกว่าที่บอกผู้ใช้ ซึ่งขัดแย้งกับนโยบายความเป็นส่วนตัวของพวกเขา
เหตุการณ์นี้เป็นการเตือนใจอย่างชัดเจนถึงความเสี่ยงที่เกี่ยวข้องกับการอัปโหลดเอกสารประจำตัวของรัฐบาลไปยังแอปและบริการที่ยังไม่ได้รับการพิสูจน์ ขณะที่รัฐบาลทั่วโลกผลักดันให้มีข้อกำหนดการยืนยันอายุออนไลน์มากขึ้น การละเมิดของ Tea นี้แสดงให้เห็นว่าระบบดังกล่าวสามารถผิดพลาดอย่างหายนะได้เมื่อนำไปใช้โดยไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม
การละเมิดแอป Tea แสดงถึงพายุที่สมบูรณ์แบบของการนำไปใช้ทางเทคนิคที่แย่ จริยธรรมทางธุรกิจที่น่าสงสัย และความตึงเครียดที่เพิ่มขึ้นเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยออนไลน์ในโลกการเดทดิจิทัล
อ้างอิง: Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan