У аплікацыі Tea адбылася другая за тыдзень сур’ёзная ўцечка дадзеных, якая аказалася больш небяспечнай за першую. На гэты раз хакеры атрымалі доступ да нядаўняй базы дадзеных з асабістымі паведамленнямі карыстальнікаў.
У аплікацыі Tea адбылася другая за тыдзень сур’ёзная ўцечка дадзеных, якая аказалася больш небяспечнай за першую. На гэты раз хакеры атрымалі доступ да нядаўняй базы дадзеных з асабістымі паведамленнямі карыстальнікаў.
Як высветліў незалежны даследчык бяспекі Касра Рахджэрды, новая ўразлівасць дазваляла з дапамогай уласных API-ключоў праглядаць перапіскі аж да мінулага тыдня, нягледзячы на заявы распрацоўшчыкаў, што мінулы інцыдэнт датычыўся толькі састарэлых дадзеных двухгадовай даўнасці. Неўзабаве пасля выяўлення праблемы Tea абмежаваў доступ да паведамленняў, але невядома, хто паспеў спампаваць ці праглядзець адчувальную інфармацыю.
Сярод паведамленняў, якія трапілі ў сетку, — прызнанні пра здрадлівых мужоў, абмеркаванні абортаў, абмен асабістымі дадзенымі і каардынацыя паміж жанчынамі, якія падазравалі адных і тых жа мужчын у здрадах. Акрамя таго, перапіска дазваляла па ўскосных дадзеных — накшталт нумароў, сацсетак і імёнаў — лёгка ўсталяваць асобы некаторых карыстальнікаў, што падвяргае іх дадатковай рызыцы.
Аплікацыя Tea, у якой зарэгістравана больш за 1,6 мільёна карыстальнікаў і якая нядаўна ўзначалівала рэйтынгі спампоўванняў App Store, пазіцыянуе сябе як бяспечную прастору для жанчын, дзе можна ананімна абменьвацца інфармацыяй пра мужчын, каб папярэдзіць патэнцыйна небяспечныя знаёмствы. Для рэгістрацыі ў сэрвісе патрабуецца сэлфі і пацвярджэнне жаночага полу.
Першая ўцечка адбылася з-за ўразлівасці ў платформе Firebase і прывяла да ўцечкі дзясяткаў тысяч фатаграфій карыстальніц Tea. Некаторыя з гэтых выяваў ужо апынуліся на старонніх сайтах, дзе іх выкарыстоўваюць для анлайн-рэйтынгаў і цкавання. У кампаніі Tea заявілі, што праводзяць тэрміновае расследаванне пры ўдзеле старонніх спецыялістаў і звярнуліся ў праваахоўныя органы. Карыстальнікам рэкамендуюць праяўляць асцярожнасць і не дзяліцца лішняй асабістай інфармацыяй нават у прыватных чатах.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.