افشای مکالمات کاربران در پی نشت دومین پایگاهداده اپلیکیشن Tea
نشت اطلاعات اپلیکیشن Tea ابعاد گستردهتری پیدا کرد؛ افشای پیامهای خصوصی و اشتراک دادهها در فرومهای هکری
نشت اطلاعات در اپلیکیشن Tea وارد مرحلهی بحرانیتری شده است. دادههای سرقتشده اکنون در فرومهای هکری منتشر شده و پایگاهدادهی دوم نیز کشف شده که ادعا میشود شامل ۱.۱ میلیون پیام خصوصی ردوبدلشده بین کاربران این پلتفرم است.
اپلیکیشن Tea یک پلتفرم اختصاصی برای بانوان با هدف افزایش امنیت در روابط و آشنایی آنلاین است. در این اپلیکیشن، اعضا میتوانند نظرات خود را دربارهی مردان به اشتراک بگذارند. دسترسی به این پلتفرم تنها پس از ارسال عکس سلفی و احراز هویت از طریق کارت شناسایی دولتی امکانپذیر است.
روز جمعه، یک کاربر ناشناس در انجمن ۴chan اعلام کرد که اپلیکیشن Tea از یک Firebase storage bucket ناایمن برای ذخیرهی گواهینامههای رانندگی و سلفیهایی که کاربران جهت احراز هویت بارگذاری کرده بودند، استفاده میکرده است. این باکت همچنین شامل تصاویر و عکسهای بهاشتراکگذاشتهشده در نظرات نیز بوده است.
این کاربر همچنین یک اسکریپت Python منتشر کرده که برای بارگذاری دادهها از این باکت (که اکنون ایمنسازی شده) قابل استفاده است.
در مجموع، بیش از ۵۹ گیگابایت داده در این نشت افشا شده است. اپلیکیشن Tea در بیانیهای عمومی تأیید کرد که کاربران ثبتنامکرده پیش از سال ۲۰۲۴ تحت تأثیر این نشت قرار گرفتهاند.
در اعلامیه رسمی مربوط به این رخنه امنیتی آمده است:
«یک سامانهی ذخیرهسازی قدیمی دچار نفوذ شد و دسترسی غیرمجاز به مجموعهای از دادهها که پیش از فوریه ۲۰۲۴ ثبت شده بودند، رخ داد.»
«این مجموعه شامل حدود ۷۲٬۰۰۰ تصویر است که از این میان، حدود ۱۳٬۰۰۰ مورد سلفی و کارت شناساییهایی است که کاربران در زمان تأیید حساب بارگذاری کردهاند و حدود ۵۹٬۰۰۰ تصویر نیز مربوط به پستها، نظرات و پیامهای مستقیم قابل مشاهده در اپلیکیشن است.»
طبق اعلام Tea، تصاویر سلفی مطابق انتظار حذف نشدهاند زیرا نگهداری آنها برای رعایت الزامات قانونی مرتبط با پیشگیری از قلدری سایبری (cyber-bullying) ضروری بوده است.
در حال حاضر، مهاجمان تهدیدگر شروع به اشتراکگذاری تورنتهایی از دادههای فاششده در فرومهای هکری کردهاند، موضوعی که میتواند کاربران را در معرض حملات مهندسی اجتماعی (social engineering) قرار دهد.
سایت BleepingComputer تأیید کرده که دادههای منتشرشده شامل گواهینامههای رانندگی، سلفیها و فایلهای پیوست پیامها است.
در ادامه، رسانه ۴۰۴ Media گزارش داد که پایگاهداده دومی نیز کشف شده که حاوی ۱.۱ میلیون پیام خصوصی بین کاربران اپلیکیشن Tea است.
این پایگاهداده شامل دادههای نسبتاً جدید از سال ۲۰۲۳ تا هفتهی گذشته است و گفته میشود پیامهایی در موضوعات حساس همچون سقط جنین، خیانت شوهرها و روابط دوگانه را شامل میشود.
طبق گفتهی «Kasra Rahjerdi»، محقق امنیتی که این پایگاهداده جدید را کشف کرده، هر کاربر Tea میتوانسته با استفاده از API key شخصی خود به دادههای کاربران دیگر دسترسی پیدا کند.
طبق گزارش ۴۰۴ Media، میتوان هویت کاربران را از طریق پروفایل شبکههای اجتماعی، شماره تلفن یا دیگر اطلاعات شخصی موجود در پیامها شناسایی کرد.
آنچه قرار بود فضایی امن برای بانوان باشد، اکنون به ابزاری برای آسیب رساندن و شرمسار کردن آنها تبدیل شده است؛ حتی وبسایتی مشابه «facesmash» ایجاد شده که در آن بازدیدکنندگان میتوانند به سلفیهای افشاشده رأی دهند.
Tea اعلام کرده است که همچنان با متخصصان امنیت سایبری شخص ثالث برای مهار این حادثه و انجام تحقیقات همکاری دارد.
اپلیکیشن همچنین گفته که نهادهای اجرای قانون نیز در جریان قرار گرفتهاند و در روند تحقیقات مشارکت دارند.
بهروزرسانی ۲۸ ژوئیه ۲۰۲۵ – ساعت ۲۳:۴۱ به وقت ET:
Tea در پاسخ به سوالات BleepingComputer درباره نشت اطلاعات جدید، بیانیه زیر را ارائه داد:
«در جریان تحقیقات مستمر دربارهی حادثه امنیت سایبری در اپلیکیشن Tea، اخیراً دریافتهایم که برخی از پیامهای مستقیم (DMs) نیز در چارچوب رخداد اولیه مورد دسترسی قرار گرفتهاند.»
«بهدلایل احتیاطی، سامانهی مربوطه را آفلاین کردهایم. در حال حاضر هیچ شواهدی مبنی بر دسترسی به سایر بخشهای محیط سیستم ما یافت نشده است.»
«این تحقیق همچنان ادامه دارد و تلاش خواهیم کرد بهمحض در دسترس بودن اطلاعات جدید، بهروزرسانیهای لازم را به اشتراک بگذاریم.»
«تیم ما همچنان بهطور کامل درگیر تقویت امنیت اپلیکیشن Tea است و بهزودی اطلاعات بیشتری دربارهی بهبودهای امنیتی منتشر خواهیم کرد. در همین حال، در حال شناسایی کاربرانی هستیم که اطلاعات شخصی آنها درگیر این نشت بوده و به آنها خدمات رایگان حفاظت از هویت ارائه خواهیم داد.»
