Kadınlar için yeni ve popüler bir sosyal platform olan “Tea” uygulaması, Şubat 2024’ten önce katılan kullanıcıları etkileyen büyük bir veri ihlalini doğruladı. Duyuru, 25 Temmuz 2025 Cuma günü uygulamanın resmi kanalı (@theteapartyqueens) aracılığıyla yapıldı.
Breach Detayları
Sabah 6: 45’te meydana gelen ihlal, mevcut kullanıcı verilerini değil, öncelikle arşivlenmiş bir sistemi etkiledi. Yaklaşık 72.000 kullanıcı tarafından gönderilen görüntü tehlikeye atıldı. Bu, hesap doğrulamasından yaklaşık 13.000 selfie ve fotoğraf kimliklerini ve bazıları iki yıldan kalma yayınlar, yorumlar ve doğrudan mesajlar aracılığıyla herkese açık olarak görülebilen yaklaşık 59.000 görüntü içerir. TEA, bu verilerin siber zorbalığın önlenmesi için kolluk standartlarını karşılamak üzere saklandığını belirtti.
Uygulama, yeni kullanıcıların bir doğrulama selfie’sini ve yeni kayıtların gerçekten kadın olduğunu doğrulamak için kullanılan hükümet tarafından verilen kimliklerinin bir fotoğrafını göndermelerini gerektirir. Şirket, herhangi bir e-posta adresine veya telefon numarasına erişilmediğini ve etkilenen fotoğrafların belirli uygulama içi yayınlarla bağlantılı olamayacağını açıkladı.
Olayı ilk bildiren 404 Medyaya göre, ihlal, “hack ve sızıntı” kampanyası çağrılarının ardından görüntü tabanlı bir mesaj panosu olan 4chan’daki anonim sağcı troller tarafından tetiklenmiş olabilir.
Bu 4CHAN kullanıcıları, Firebase’de (Google’ın mobil uygulama geliştirme platformu) TEA’ya ait açık bir veritabanını keşfettiğini ve eriştiğini ve daha sonra kullanıcıların kişisel verilerini ve selfie’lerini çevrimiçi olarak paylaştığını iddia ediyor. Ekran görüntüleri, 4CHAN gönderileri ve kod dahil kanıtlar 404 medya tarafından incelendi.
Güvenlik açığının, geliştiricilerin yeterli güvenlik incelemesi olmadan AI araçlarını kullanabileceği “Vibe Kodlama” ile bağlantılı bir uygulama olan uygulamanın Firebase depolama kovasının kamuya açık bir şekilde erişilebilir olmasından kaynaklandığı bildirildi. Orijinal gönderi kaldırılmış olsa da, tehlikeye atılan verilerin X gibi diğer sosyal medya siteleri ve BitTorrent gibi merkezi olmayan ağlar da dahil olmak üzere çeşitli platformlara yayıldığı bildirildi ve bazı kullanıcılar bile etkilenen bireylerin genel koordinatlarını gösteren Google Haritalar bağlantıları oluşturuyor.
İnceleme altında şirket yanıtı
Tea uygulaması ekibi, konuyu ele almak için dahili güvenlik ekipleri ve güvenilir uzmanlarla hızlı bir şekilde çalıştıklarını belirtti. Mevcut veya ek verilere erişilmediğini iddia ettiler.
Bununla birlikte, VX-Underground tarafından X üzerinde bildirildiği gibi, uzlaşma bildirildikten 12 saat sonra bile, Firebase örneği erişilebilir kaldı ve kullanıcılar, şirketin derhal iyileştirme iddialarıyla çelişen görünüşte veri yükleyebilirler.
Bilgileriniz için, “TEA” uygulaması, 2023 yılında Sean Cook tarafından kurulan bir platformdur, burada kadınlar “kırmızı bayraklar” veya “yeşil bayraklar” olarak derecelendirme, erkeklerin fotoğraflarını (genellikle sosyal medyadan elde edilir) yükleme ve grup sohbetleri yoluyla doğrudan paylaşma da dahil olmak üzere erkeklerle ilgili deneyimleri ve bilgileri paylaşabilirler.
Bir güvenlik aracı olarak konumlandırılırken, özellikle erkeklerden gizlilik ihlalleri ve potansiyel iftira ile ilgili eleştiriler ve yasal sorularla karşılaşmıştır. İhlal zamanlaması, uygulamanın popülerlik artışına denk geldi ve bu hafta Apple’ın App Store’un zirvesine ulaştı.