La semana pasada usuarios de 4chan afirmaban haber descubierto una base de datos expuesta alojada en Firebase, perteneciente a Tea, la popular app de citas para mujeres. Luego, Tea confirmó la filtración aunque indicó que "los datos eran de hace dos años".
La app Tea es una plataforma de citas seguras, solo para mujeres, donde las usuarias pueden compartir opiniones sobre hombres. El acceso a la plataforma solo se otorga tras proporcionar una selfie y una verificación de identidad oficial.
Ahora, la filtración de datos de la app Tea sigue creciendo. Los datos robados se han compartido en foros de abiertos y se ha descubierto una segunda base de datos que supuestamente contiene 1,1 millones de mensajes privados intercambiados entre sus miembros.
El viernes, una usuaria anónima publicó en 4chan que Tea utilizaba un contenedor de almacenamiento no seguro de Firebase para almacenar licencias de conducir y selfies subidas por sus miembros para verificar su identidad femenina, así como fotos e imágenes compartidas en los comentarios.
La usuaria compartió un script de Python que permitía descargar los datos del contenedor de almacenamiento, ahora seguro. En total, más de 59 GB de datos quedaron expuestos en la filtración, y Tea confirmó en un comunicado público que afecta a los usuarios registrados antes de 2024. "Un sistema de almacenamiento de datos heredado se vio comprometido, lo que resultó en un acceso no autorizado a un conjunto de datos anterior a febrero de 2024".
Este conjunto de datos incluye aproximadamente 72.000 imágenes, incluyendo aproximadamente 13.000 selfies y documentos de identificación con foto enviados por los usuarios durante la verificación de la cuenta, y aproximadamente 59.000 imágenes visibles públicamente en la aplicación a partir de publicaciones, comentarios y mensajes directos.
La plataforma afirma que los selfies no se eliminaron como se esperaba para cumplir con los requisitos de las fuerzas del orden en relación con la prevención del ciberacoso.
Los actores de amenazas han comenzado a compartir una gran cantidad de los datos filtrados en foros, lo que podría exponer a los miembros de la aplicación a ataques de ingeniería social.
BleepingComputer ha confirmado que los datos compartidos contienen licencias de conducir, selfies y archivos adjuntos de mensajes. Para empeorar las cosas, 404 Media informa que se encontró una base de datos adicional con 1,1 millones de mensajes privados enviados entre usuarios de la plataforma Tea. Esta base de datos contiene datos mucho más recientes, desde 2023 hasta la semana pasada, y, según se informa, incluye mensajes que abordan temas delicados, como abortos, infidelidades y parejas infieles.
Kasra Rahjerdi, la investigadora que descubrió la base de datos, declaró a 404 Media que cualquier usuario de Tea podía acceder a los datos almacenados utilizando su propia clave API.
Según 404 Media, es posible identificar a los usuarios a partir de sus perfiles en redes sociales, números de teléfono u otros datos personales revelados en los mensajes.
Lo que se suponía que era un espacio seguro para mujeres se ha convertido en una herramienta para avergonzarlas, e incluso se ha creado un sitio web similar a "facesmash" donde los visitantes pueden calificar las selfies expuestas en los datos filtrados.
Tea afirma que sigue trabajando con expertos en ciberseguridad externos para contener el incidente y llevar a cabo una investigación del ataque. La aplicación afirma que también notificó a las fuerzas del orden, quienes están colaborando con la investigación.
Fuente: BC