交友App淪資安破口! 美國論壇瘋傳匿名女用戶個資「7.2萬張圖外洩」
美國女性交友應用程式「Tea」爆發大規模資安事件,資料庫遭駭,導致72,000張圖片外洩,引發外界對使用者隱私的高度關注。這款主打女性匿名分享男性約會經驗的App,在短時間內吸引大量使用者,但其資安防護卻被揭露存在重大漏洞。Tea公司表示,此次受影響的資料包括13,000張帳號驗證用的自拍與身分證照片,以及59,000張來自貼文、留言與私人訊息的圖片。公司指出,僅2024年2月以前註冊的使用者受到波及。
根據《路透社》報導,Tea於26日證實這起資安事件,並說明已發現系統遭未經授權存取,公司隨即啟動內部調查,並聘請第三方資安專家進行修復作業。
Tea強調,目前並無任何電子郵件或電話號碼外洩的證據,並保證未來將採取所有必要措施防止進一步洩漏。公司也表示,這些圖片原本是因應執法機關關於網路霸凌防制的要求而保存,並非任意儲存。
這起事件最早由科技新聞媒體《404 Media》在26日曝光,揭露Tea開發人員的一個Firebase資料庫未加密保護,導致數萬張女性自拍與身分證照片曝光,並被網友在4chan論壇上流傳。
根據該媒體取得的截圖與程式碼資料,一些4chan使用者更撰寫自動化腳本,下載並分享數千張女性的個人照片與個資,有使用者聲稱這些照片未經遮蔽、尺寸與命名格式一致,與外洩的儲存桶內容相符。
《404 Media》實際下載了Tea的Android版本並反編譯其程式碼,驗證4chan所揭露的儲存桶URL確實屬於Tea。在4chan上,原始揭露此事件的討論串雖已被刪除,但仍可透過其他存檔版本與延伸討論追溯內容,其中一則貼文直言:「Tea App讓你的臉和駕照被公開,不設任何驗證,任何人都能瀏覽。」
Tea成立於2023年,目前已累積超過160萬名註冊使用者,本週更登上美國Apple App Store排行榜第一名。平台鼓勵女性上傳自拍照進行性別驗證,通過後即可匿名分享與特定男性的互動經歷,功能設計類似於「Yelp式的交友資訊交換」。App在使用者建立帳號時,會要求上傳自拍、所在地、出生日期與身分證照片,用於審查與安全認證。