Sebuah aplikasi keselamatan kencan wanita popular bernama Tea telah mengalami pelanggaran keselamatan yang dahsyat yang mendedahkan maklumat peribadi kira-kira 30,000 pengguna, termasuk lesen memandu, swafoto, dan data lokasi GPS. Pelanggaran ini berlaku bukan melalui penggodaman yang canggih, tetapi kerana aplikasi tersebut menyimpan data sensitif pengguna dalam baldi penyimpanan Firebase yang benar-benar awam dan boleh diakses oleh sesiapa sahaja di internet.
Tea , yang mencapai kedudukan teratas carta App Store minggu ini, direka untuk membantu wanita berkongsi maklumat tentang lelaki yang pernah mereka kencani untuk menggalakkan keselamatan. Pengguna dikehendaki mengesahkan identiti mereka dengan memuat naik swafoto dan gambar lesen memandu. Walau bagaimanapun, dokumen yang sangat sensitif ini disimpan tanpa sebarang perlindungan keselamatan sama sekali.
Statistik Pelanggaran:
- Pengguna Terjejas: ~30,000 pengguna
- Jumlah Data: 60GB maklumat peribadi
- Jenis Data Terdedah: Lesen memandu, gambar selfie, nama pengguna, e-mel, sejarah sembang, koordinat GPS
- Platform Penyimpanan: Firebase (platform pembangunan mudah alih Google )
- Tahap Keselamatan: Baldi awam tanpa memerlukan pengesahan
Skop Pendedahan Data
Maklumat yang bocor termasuk lebih daripada sekadar foto pengesahan identiti. Pengguna di 4chan menemui pangkalan data yang terdedah dan mula memuat turun secara sistematik data seberat 60GB, yang termasuk lesen memandu, swafoto, nama pengguna, alamat e-mel, sejarah sembang, dan koordinat GPS daripada metadata foto. Seseorang bahkan mencipta peta awam yang menunjukkan lokasi kesemua 30,000 pengguna berdasarkan data lokasi ini.
Pelanggaran ini telah mencipta fail torrent yang mengandungi semua maklumat ini, yang kini disebarkan secara meluas dalam talian. Ini bermakna kerosakan melangkaui penemuan awal, kerana data kini tersedia secara kekal kepada sesiapa yang ingin mengaksesnya.
Kecuaian Teknikal Di Sebalik Pelanggaran
Kegagalan keselamatan nampaknya berpunca daripada pelaksanaan teknikal yang sangat lemah. Aplikasi tersebut menggunakan Firebase , platform pembangunan mudah alih Google , tetapi mengkonfigurasinya sebagai baldi awam tanpa memerlukan pengesahan. Ini bermakna sesiapa yang mengetahui URL boleh mengakses semua fail yang disimpan secara terus melalui pelayar web mereka.
LESEN MEMANDU DAN GAMBAR MUKA! MASUK KE SINI SEBELUM MEREKA TUTUPNYA! tulis seorang pengguna 4chan yang menemui kelemahan tersebut, menyerlahkan betapa mudahnya data tersebut diakses.
Perbincangan komuniti mendedahkan bahawa ini bukan serangan siber yang canggih tetapi lebih kepada salah faham asas tentang amalan keselamatan asas. Beberapa pengguna telah mencipta skrip automatik untuk memuat turun keseluruhan pangkalan data, dan syarikat hanya mengamankan baldi selepas pelanggaran menjadi pengetahuan awam.
Butiran Teknikal:
- Platform: Baldi penyimpanan Firebase
- Kaedah Akses: Akses URL terus (tiada penggodaman diperlukan)
- Format Data: Fail tidak disulitkan
- Kaedah Penemuan: Pengguna 4chan menemui pangkalan data yang terdedah
- Alat Automatik: Pelbagai skrip dicipta untuk muat turun data secara besar-besaran
Implikasi Undang-undang dan Keselamatan
Pelanggaran ini menimbulkan kebimbangan keselamatan yang serius bagi wanita yang terjejas. Ramai pengguna aplikasi keselamatan kencan mungkin mempunyai perintah sekatan terhadap pasangan yang ganas atau cuba melarikan diri daripada hubungan yang kasar. Pendedahan maklumat peribadi mereka, termasuk alamat rumah yang diperoleh daripada data GPS , dalam talian boleh meletakkan mereka dalam bahaya fizikal.
Insiden ini juga menimbulkan persoalan tentang fungsi teras aplikasi. Tea membenarkan pengguna menyiarkan foto dan maklumat tentang lelaki tanpa persetujuan mereka, pada dasarnya mencipta apa yang dikritik sebagai platform doxxing. Ironi bahawa pengguna aplikasi doxxing kini telah di-doxx sendiri tidak terlepas daripada perhatian pemerhati.
Pakar undang-undang mencadangkan syarikat menghadapi potensi tindakan undang-undang kelas dan kes sivil individu. Pengendalian data sensitif yang cuai, terutamanya lesen memandu yang dianggap sebagai dokumen pengenalan kerajaan, boleh mengakibatkan penalti kewangan yang ketara dan liabiliti jenayah.
Garis Masa Peristiwa:
- Pelancaran Aplikasi: 2023 (mencapai kedudukan 1 di App Store pada Julai 2025)
- Penemuan Pelanggaran: 25 Julai 2025 pada 6:44 pagi PST
- Pengedaran Data: Maklumat dikongsi di 4chan dan diedarkan melalui torrent
- Respons Syarikat: Kenyataan rasmi disiarkan selepas pendedahan awam
Respons Syarikat dan Kesan Industri
Respons rasmi Tea mendakwa mereka mengenal pasti akses tanpa kebenaran kepada sistem mereka, tetapi pembingkaian ini telah dikritik sebagai mengelirukan kerana data boleh diakses secara awam dari awal. Syarikat mengakui mereka telah menyimpan foto pengesahan pengguna lebih lama daripada yang diberitahu kepada pengguna, bercanggah dengan dasar privasi mereka.
Insiden ini berfungsi sebagai peringatan keras tentang risiko yang berkaitan dengan memuat naik pengenalan kerajaan kepada aplikasi dan perkhidmatan yang belum terbukti. Ketika kerajaan di seluruh dunia mendesak keperluan pengesahan umur dalam talian yang lebih banyak, pelanggaran ini menunjukkan betapa dahsyatnya sistem sedemikian boleh menjadi salah apabila dilaksanakan tanpa langkah keselamatan yang betul.
Pelanggaran aplikasi Tea mewakili ribut sempurna pelaksanaan teknikal yang lemah, etika perniagaan yang boleh dipersoalkan, dan ketegangan yang semakin meningkat mengenai privasi dan keselamatan dalam talian dalam dunia kencan digital.
Rujukan: Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan