La semana pasada usuarios de 4chan afirmaban haber descubierto una base de datos expuesta alojada en Firebase, perteneciente a Tea, la popular app de citas para mujeres. Luego, Tea confirmó la filtración aunque indicó que «los datos eran de hace dos años».
La app Tea es una plataforma de citas seguras, solo para mujeres, donde las usuarias pueden compartir opiniones sobre hombres. El acceso a la plataforma solo se otorga tras proporcionar una selfie y una verificación de identidad oficial.
Ahora, la filtración de datos de la app Tea sigue creciendo. Los datos robados se han
compartido en foros de abiertos y se ha descubierto una segunda base de datos
que supuestamente contiene 1,1 millones de mensajes privados intercambiados
entre sus miembros.
El viernes, una usuaria anónima publicó en 4chan que Tea utilizaba un
contenedor de almacenamiento no seguro de Firebase para almacenar licencias de
conducir y selfies subidas por sus miembros para verificar su identidad
femenina, así como fotos e imágenes compartidas en los comentarios.
La usuaria compartió un script de Python que permitía descargar los
datos del contenedor de almacenamiento, ahora seguro. En total, más de 59 GB
de datos quedaron expuestos en la filtración, y Tea confirmó en un
comunicado público
que afecta a los usuarios registrados antes de 2024.
«Un sistema de almacenamiento de datos heredado se vio comprometido, lo que
resultó en un acceso no autorizado a un conjunto de datos anterior a febrero
de 2024».
Este conjunto de datos incluye aproximadamente 72.000 imágenes, incluyendo
aproximadamente 13.000 selfies y documentos de identificación con foto
enviados por los usuarios durante la verificación de la cuenta, y
aproximadamente 59.000 imágenes visibles públicamente en la aplicación a
partir de publicaciones, comentarios y mensajes directos.
La plataforma afirma que los selfies no se eliminaron como se esperaba para
cumplir con los requisitos de las fuerzas del orden en relación con la
prevención del ciberacoso.
Los actores de amenazas han comenzado a compartir una gran cantidad de los
datos filtrados en foros, lo que podría exponer a los miembros de la
aplicación a ataques de ingeniería social.
BleepingComputer ha confirmado
que los datos compartidos contienen licencias de conducir, selfies y archivos
adjuntos de mensajes. Para empeorar las cosas,
404 Media informa
que se encontró una base de datos adicional con 1,1 millones de mensajes
privados enviados entre usuarios de la plataforma Tea. Esta base de datos
contiene datos mucho más recientes, desde 2023 hasta la semana pasada, y,
según se informa, incluye mensajes que abordan temas delicados, como abortos,
infidelidades y parejas infieles.
Kasra Rahjerdi, la investigadora que descubrió la base de datos, declaró a
404 Media que cualquier usuario de Tea podía acceder a los datos almacenados
utilizando su propia clave API.
Según 404 Media, es posible identificar a los usuarios a partir de sus
perfiles en redes sociales, números de teléfono u otros datos personales
revelados en los mensajes.
Lo que se suponía que era un espacio seguro para mujeres se ha convertido
en una herramienta para avergonzarlas,
e incluso se ha creado un sitio web similar a «facesmash» donde los
visitantes pueden calificar las selfies expuestas en los datos filtrados.
Tea afirma que sigue trabajando con expertos en ciberseguridad externos para
contener el incidente y llevar a cabo una investigación del ataque. La
aplicación afirma que también notificó a las fuerzas del orden, quienes están
colaborando con la investigación.
Fuente:
BC