Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page У приложения Tea утекли личные данные и сообщения пользователей

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 07-30-2025, 10:15 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default


Платформа Tea пострадала от двух крупных утечек данных. Сначала на 4chan обнаружили незащищенную БД Firebase, содержащую личные данные пользователей, а затем была найдена вторая БД, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.



Tea представляет собой платформу, в первую очередь ориентированную на женщин. Это закрытое сообщество, где все участницы анонимны, но проходят верификацию, предоставляя селфи и документы для подтверждения личности, что должно обеспечивать безопасность и конфиденциальность. Фактически Tea позволяет проверять информацию о потенциальных партнерах и делиться «отзывами» о мужчинах, то есть опытом общения и свиданий, а также проверять информацию на предмет мошенничества и фейков, тайных браков, судимостей и так далее.



В конце прошлой недели на 4chan появилась информация о том, Tea использует незащищенное хранилище Firebase, где можно найти фото документов и селфи, которые пользователи загружают на платформу для подтверждения личности, а также фотографии и изображения, которыми они делятся друг с другом в комментариях.



Анонимный пользователь поделился Python-скриптом, который можно было использовать для выгрузки данных из теперь уже защищенной БД.



В общей сложности в результате этой утечки было раскрыто более 59 ГБ данных, а представители Tea подтвердили, что проблема затрагивала пользователей, которые зарегистрировались в приложении до 2024 года.










«Набор данных включает около 72 000 изображений, в том числе около 13 000 селфи и фото, предоставленных пользователями при верификации аккаунта, а также около 59 000 изображений, публично доступных в приложении в постах, комментариях и личных сообщениях», — сообщали представители платформы.

В Tea объясняли, что селфи не удалялись из-за требований правоохранительных органов, связанных с предотвращением кибербуллинга.



В итоге в сети и на хакерских форумах стали появляться торренты с утекшими данными (водительскими правами и селфи пользователей, а также вложениями из сообщений), что потенциально грозило участникам приложения фишинговыми атаками.



Однако на этом история не закончилась. Как сообщает издание 404 Media, теперь в сети обнаружена еще одна незащищенная база данных Tea, содержащая 1,1 млн личных сообщений, которыми обменивались пользователи.



Эта база содержит более свежие данные, начиная с 2023 года и заканчивая прошлой неделей. По данным журналистов, в БД можно найти сообщения, в которых обсуждались крайне деликатные темы, включая аборты, измены и мужчин-двоеженцев. В некоторых случаях женщины обменивались номерами телефонов, чтобы продолжить общение вне платформы.



Как объяснил изданию ИБ-исследователь Касра Рахджерди (Kasra Rahjerdi), обнаруживший новую утечку, любой пользователь Tea мог получить доступ к сохраненным данным других людей, используя собственный ключ API. Также исследователь заявил, что нашел возможность рассылать push-уведомления всем пользователям Tea.



Как отмечают в 404 Media, теперь идентифицировать пользователей Tea можно по профилям в социальных сетях, номерам телефонов и другим личным данным, раскрытым в результате утечек. В итоге платформа, которая должна была стать безопасным пространством для женщин, превратилась в инструмент для буллинга. К примеру, в сети уже появляются сайты, где предлагается оценить селфи пользовательниц Tea, взятые из утекших данных. На сайте даже публикуется рейтинг 50 лучших и 50 худших.



Представители Tea заявили, что продолжают сотрудничать со сторонними экспертами по кибербезопасности, чтобы локализовать инциденты и провести расследование. Также компания уведомила о происходящем правоохранительные органы, которые тоже помогают в расследовании.



Как сообщили в компании журналистам издания Bleeping Computer, в настоящее время пострадавшая система для обмена личными сообщениями отключена по соображениям безопасности.










«На данный момент мы не выявили никаких доказательств доступа к другим частям нашей инфраструктуры. Расследование еще продолжается, и мы постараемся своевременно сообщать о его результатах по мере поступления информации. Наша команда продолжает работать над укреплением безопасности Tea App, и мы с нетерпением ждем возможности рассказать об этих улучшениях в ближайшее время. А пока мы сосредоточены на выявлении пользователей, чьи личные данные были затронуты [утечкой], и предлагаем им бесплатные услуги по защите от кражи личности», — заявили представители Tea.

@ xakep.ru
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:41 PM.

Contact Us - Carder.life - Archive - Top