Hackerlar, on binlerce kullanıcı selfie ve hükümet kimliği fotoğraflarının sızmasına yol açan çay uygulamasını ihlal etti. Tea App, kullanıcıların şu anda daha önce veya flört ile ilgilenen erkekler hakkında kişisel verilerin yayınlanmasına izin veren sadece popüler bir kadın platformudur. Çay uygulaması veri ihlali bir çay sözcüsü tarafından onaylandı.
Şirkete göre, saldırganlar 13.000 kullanıcı doğrulama özçekimi ve hükümet tarafından verilen kimliklerin fotoğrafları da dahil olmak üzere yaklaşık 72.000 görüntü içeren bir veritabanına erişti. TEA uygulaması veri ihlalindeki maruz kalan veriler, kullanıcılar tarafından kayıt işlemi sırasında kimliklerini onaylamak için gönderilen içeriği içerir.
Çay Uygulaması Nasıl Çalışır
Tea son zamanlarda sosyal medya platformlarında çekiş kazandı ve Apple App Store’da en çok indirilen ücretsiz uygulama oldu, sanal bir fısıltı ağı olarak çalışıyor. Kadınların erkeklerin fotoğraflarını yüklemelerine, isme göre arama yapmalarına ve anonim olarak incelemeleri paylaşmasına, bireyleri “kırmızı bayraklar” veya “yeşil bayraklar” olarak etiketlemelerine olanak tanır. Uygulama, kullanıcılarına anonimlik vaat ediyor ve platform içindeki ekran görüntülerini yasaklıyor.
Tea uygulamasına kaydolmak için, kullanıcıların cinsiyetlerini kanıtlamak için bir selfie göndermeleri gerekmektedir, bu da şirketin güvenlik ve münhasırlığı teşvik etmeyi amaçladığı bir adımdır. Web sitesinde Tea, bu selfie’lerin kısa bir incelemeden sonra silindiğini, veri ihlalinden sonra inceleme altında bir talep olduğunu belirtiyor.
Çay Uygulaması Veri İhlali: Ayrıntılı
Tea Sözcüsü’ne göre, erişilen veriler iki yıldan uzun bir süre önce bir veritabanında saklandı. Sözcü, verilerin başlangıçta “siber zorbalığın önlenmesi ile ilgili kolluk kuvvetlerine uygun olarak” arşivlendiğini belirtti.
Tea uygulaması verileri ihlali nedeniyle, şirket üçüncü taraf siber güvenlik firmalarına katıldı ve sistemlerini güvence altına almak için “gün boyunca” çalıştığını belirtti. Şirket, “Kullanıcılarımızın gizliliğini ve verilerini korumak en yüksek önceliğimizdir” dedi. “Çay, platformumuzun güvenliğini sağlamak ve daha fazla maruz kalmayı önlemek için gerekli her adımı atıyor.”
Durum Pazartesi günü 404 medyanın ikinci bir güvenlik açığı ortaya çıkardığı zaman kötüleşti. Bu kusur, 2023’ün başından geçen haftaya kadar uygulamada kullanıcılar tarafından değiştirilen 1.1 milyondan fazla doğrudan mesaja yetkisiz erişime izin verdi. Bu mesajlardan bazıları, kullanıcıları potansiyel olarak tanımlayabilecek derin kişisel bilgiler içeriyordu.
Güvenlik açığını ortaya çıkaran siber güvenlik araştırmacısı Kasra Rahjerdi, maruz kalan veritabanının birisinin kullanıcılara push bildirimleri göndermesine izin verebileceğini söyledi. Ayrıca, diğer bireylerin bildirmeden önce verilere erişebileceğini de doğruladı, ancak bilgilerin indirilip indirilmediğinden emin değildi.
Tea o zamandan beri etkilenen sistemleri çevrimdışı aldı ve etkilenen kullanıcılara ücretsiz kimlik koruma hizmetleri sunmayı planladığını duyurdu. Şirket ayrıca kişisel verileri tehlikeye atılmış olabilecek kişileri tanımlamak için çalışıyor.
Çevrimiçi forumların rolü ve potansiyel kötüye kullanım
Çay Uygulaması Veri ihlali, bazı çevrimiçi topluluklardaki etkinliklerle bağlantılıdır. Tartışmalı içeriği ile bilinen bir platform olan 4chan’da bir iş parçacığı, kullanıcıların çayı hedefleyen bir “hack ve sızıntı” kampanyası istediği bildirildi. Cuma sabahı, 4CHAN kullanıcısı, başkalarının çalıntı görüntüleri indirmesine izin veren bir bağlantı yayınlamıştı. Çay kullanıcılarının kimlik belgeleri gibi görünen birçok fotoğraf, o zamandan beri 4CHAN ve X (eski adıyla Twitter) ‘da yayınlanmıştır, ancak özgünlükleri bağımsız olarak doğrulanmamıştır.
Dahası, birisi TEA uygulaması veri ihlalinden etkilenen kullanıcıların koordinatlarını gösterdiği iddia edilen bir Google haritası oluşturdu. İsimler eklenmemiş olsa da, konum verilerinin maruz kalması, kullanıcıların güvenliği ve gizliliği hakkında başka sorular ortaya koymuştur.
Başka bir rapor, sızdırılan verilerin bazılarının bireyleri ABD Ordusu üslerine izlemek için kullanıldığını ve en az bir siber suçlu forumunun selfie ve kimlikler içeren 55 GB veri dökümü sunduğunu iddia ettiğini ortaya koydu.
Google tarafından geliştirilen bulut tabanlı bir hizmet olan yanlış yapılandırılmış bir Firebase depolama kovasının, bilgisayar korsanları için önemli bir giriş noktası olduğuna inanılıyor. Birden fazla araştırmacı, ihlalin kamuya açıklanmasından önce depolama kovasının kamuya açık olarak erişilebilir olduğunu doğruladı.
Kullanıcıların tepkileri
Tea uygulaması veri ihlali, özellikle birçoğu uygulamanın gizlilik vaatlerine güvenmiş olduğu için kullanıcılar arasında bir eleştiri ve endişeyi ateşledi. Uygulama, kayıt işlemi sırasında, doğrulama görüntülerinin gözden geçirme sonrası silineceğini açıkça belirtti, şu anda söz konusu bir söz. Birçok kullanıcı, hayal kırıklıklarını ifade etmek için Tea’s Instagram sayfasına gitti ve bazıları milyonlarca yeni kayıt iddialarına rağmen hala bekleme listesinde olduklarını söylüyor.
Tartışma, uygulamanın amacı üzerindeki daha geniş gerilimleri de yansıtıyor. Kadınlara kendilerini korumak ve deneyimleri paylaşmak için bir platform vermek için tasarlanmış olsa da, eleştirmenler çayları doğrulanmamış iddialar ve potansiyel siber zorbalığa olanak sağlamakla suçladılar. Bazı erkekler platformda yanlış temsil edilme veya yanlış bir şekilde işaretlenme konusunda endişelerini dile getirdiler.
Uygulama ve kurucusu hakkında
Tea’nin yaratıcısı Sean Cook, uygulamanın annesinin çevrimiçi randevu ile ilgili olumsuz deneyimlerinden ilham aldığını, kedifikli olmak ve suç geçmişi olan bireylerle karşılaşmak da dahil olmak üzere ilham aldığını söyledi. Bir inceleme ağı olarak işlev görmenin yanı sıra, TEA, kullanıcıların arka plan kontrolleri yapmasına, cezai geçmişleri aramasına ve kedi avlama girişimlerini tespit etmek için ters görüntü aramaları yapmasına olanak tanır.
Web sitesine göre, TEA, Instagram’da 240.000’den fazla takipçisi ve Tiktok’ta 190.000’den fazla takipçisi ile güçlü bir dijital varlığa sahiptir. Her ay milyonlarca kullanıcıya ulaştığını iddia ediyor ve kârının% 10’unu ulusal aile içi şiddet yardım hattına bağışlıyor ve bu da uygulamanın gerçekten bir bağışçı olduğunu doğruladı.
Çay uygulaması veri ihlali hala araştırılıyor olsa da, olay hassas kişisel verileri toplayan platformların doğal risklerini vurgulamaktadır. Anonimlik ve güvenlik vaatlerine rağmen, kimlik belgelerinin ve özel mesajların maruz kalması birçok kullanıcının ihanete uğramasını sağladı.