女性が匿名で男性の写真を投稿し噂話するアプリ「Tea」に4chanのハッカーが侵入、1万3000枚の認証用自撮り写真を含む7万2000枚の画像が大量流出し大炎上

男性に関する情報交換の場として女性に人気だったアプリ「Tea」から、女性の写真が流出しました。Teaが保存していたファイルは全く暗号化されておらず、ユーザーの個人情報が丸見えだったと伝えられています。

Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan
https://www.404media.co/women-dating-safety-app-tea-breached-users-ids-posted-to-4chan/

Tea app hacked: 13,000 photos leaked after 4chan call to action
https://www.nbcnews.com/tech/social-media/tea-app-hacked-13000-photos-leaked-4chan-call-action-rcna221139

Teaは女性向けの情報交換アプリで、男性の写真と名前を公開してユーザー同士で語り合ったり、男性に「青信号」や「赤信号」といったラベルを付けたりすることができました。「デートアドバイスアプリ」とうたわれており、一時はアメリカのApp Store無料アプリランキングで1位に躍り出るほど人気がありました。

Teaを利用するユーザーは、アカウント登録時に女性であることを証明するため、身分証明書と自撮り写真をアップロードする必要があります。この身分証明書や自撮り写真のデータが匿名掲示板「4chan」のユーザーに発見され、リンクが公開されました。

データの流出を認めたTeaによると、本来自撮り写真のデータ等は審査後に削除されるものですが、特定の時期に提出されたデータに関しては、ネットいじめ防止に関する法律の要件に準じるためにデータベースへ保管していたとのことです。

ところが、このデータベースは暗号化すらされておらず、文字通り誰でも閲覧できる状態にあったようです。

ソフトウェアエンジニアのオースティン・オールレッド氏は「Teaのデータは公開アクセス可能なURL上に存在していて、『ハック』ではなく普通にアクセスされただけ」と述べた上で、「通常は閲覧がブロックされるデータベースを公開設定にする場合は何度も警告が出るはず」と指摘。内部の人間が警告を受けつつもなお公開設定とした可能性があると示唆しました。

他人の顔写真を勝手にアップロードしてあれこれと品定めするというTeaは一部の男性の怒りを買っており、データ流出の前日には4chanでスレッドが立てられ、情報を探るための「ハッキング・アンド・リーク」キャンペーンがスタートしていたそうです。その翌日には、画像をダウンロードできるとするURLが投稿され、Teaの利用者とされる人々の写真が大量に4chanとXへ投稿されました。

そのデータ量は一時59.3GBに上りました。なお、元のスレッドはモデレーターにより削除されました。

この件に関連して、Tea利用者を格付けするサービスや、Tea利用者の住所をマッピングしたデータなどが公開されました。

Teaは「不正アクセスを受けたシステムには、ユーザーが送信した約7万2000枚の写真が保存されています。そのうち約1万3000枚は、ユーザー認証のために提出された身分証明書や自撮り写真です。2024年2月以降にTeaへ登録した場合、すべてのデータは安全です。私たちは迅速に行動し、最も信頼できるサイバーセキュリティの専門家と協力しています」と述べました。

◆つづき
男性品定めアプリ「Tea」から今度はメッセージ内容が流出 - GIGAZINE