Il nome è immediato: riprende lo slang 'Spill the Tea', rivelare dei petegolezzi, mentre il suo scopo è un po' più controverso: un social tassativamente per solo donne, che hanno in questo modo un ambiente privato per condividere esperienze spiacevoli con i partner conosciuti sulle app di dating.
Sulla carta Tea doveva aumentare la sicurezza delle donne, ma come spesso accade, la strada per l'inferno è lastricata di buone intenzioni: forse un'app per diffondere petegolezzi senza che i diretti interessati possano accedervi (e difendersi da commenti potenzialmente poco lusinghieri o diffamatori) non è la migliore delle idee. Ma tant'è, perché il vero problema è un altro.
Per accertarsi che solo le donne possano iscriversi e accedere all'app, Tea prevede un rigoroso sistema di verifica: gli utenti devono caricare un documento d'identità valido e scattare un selfie. "Tranquillo, ci serve solo per autenticarti ma poi cancelleremo tutto", prometteva l'app. Peccato che, come si è scoperto, non fosse assolutamente vero.
Nel weekend, oltre 70.000 foto e documenti degli utenti sono apparsi online, dapprima condivisi sulla famigerata imageboard 4Chan. Una fuga di dati massiccia, che rischia di esporre le vittime non solo a furti d'identità, ma anche agli stessi abusi che l'app doveva combattere.
La cosa clamorosa è che il data breach non è il frutto di un sofisticato attacco informatico, ma della negligenza degli sviluppatori unita agli intenti malevoli di alcuni troll. I primi ad accorgersi dell'incidente sono stati i giornalisti di 404 Media, che sono anche risaliti alla fonte e alle modalità del furto di dati.
Le informazioni degli utenti erano archiviate in una cartella su Firebase, piattaforma di sviluppo mobile di Google. Non era presente nessuna forma di protezione, neanche una banale password: per accedervi era sufficiente conoscere il link, a cui i troll di 4Chan hanno avuto facile accesso con una banale operazione di reverse engineering. Quindi non solo le immagini degli utenti non venivano immediatamente rimosse al termine del processo di verifica, come promesso, ma erano anche conservate online senza adeguate misure di sicurezza.
Durante la stesura dell’articolo, l’utente di 4chan aveva condiviso un link che rimandava a un lungo elenco di allegati specifici legati all’app Tea. In un primo momento i file risultavano accessibili, ma ora la pagina restituisce un errore 404. Tuttavia, abbiamo verificato che l’app Tea contiene effettivamente lo stesso URL del bucket di archiviazione indicato su 4chan come coinvolto nella fuga di dati
recita l'articolo uscito su 404 Media.
Parallelamente, Tea ha confermato a Gizmodo la veridicità del data breach, sostenendo però che si tratti di dati obsoleti (suggerendo che ora l'app abbia standard di sicurezza diversi):
I primi accertamenti indicano che l’incidente ha coinvolto un sistema di archiviazione dati obsoleto, contenente informazioni risalenti a oltre due anni fa. Sarebbero stati consultati senza autorizzazione circa 72.000 file, tra cui circa 13.000 immagini di selfie e documenti di identità caricati per la verifica degli account, oltre a 59.000 immagini pubblicamente visibili sull’app provenienti da post, commenti e messaggi diretti.
Xiaomi 16 Ultra sarà il re dello zoom: 200 MP doppio periscopio