Um aplicativo projetado para ajudar as mulheres a detectar as “bandeiras vermelhas” dos homens que datam incidentalmente colocou seus usuários em risco. 404 Mídia relataram que o chá foi invadido por usuários do 4CHAN na semana passada, resultando em selfies e licenças de motorista de suas usuários, na maioria das vezes, sendo postadas em 4chan. Um pesquisador independente para 404 Mídia Desde então, descobriu que as mensagens entre os usuários que discutem infidelidade, aborto e números de telefone pessoais também são vulneráveis a hackers.
O chá foi fundado pelo desenvolvedor de software Sean Cook, que disse que foi inspirado a criar uma rede de sussurros anônimos depois de testemunhar as experiências de namoro “aterrorizantes” de sua mãe com homens. Também foi fortemente influenciado pela ascensão de “estamos namorando o mesmo cara”, grupos do Facebook e opera em um paradigma semelhante de alarmes anedóticos de som sobre homens que as pessoas namoraram. O aplicativo subiu em popularidade para o primeiro lugar na App Store da Apple na semana passada. O chá afirma ter mais de 4 milhões de usuários ativos.
Em 25 de julho, 72.000 imagens – incluindo 13.000 selfies e carteiras de motorista, além de outras 59.000 imagens, publicadas no aplicativo – foram violadas, com muitos baixados e publicados publicamente em 4chan. Os usuários do 4CHan postaram inicialmente imagens de quatro licenças de motorista feminina, redigindo algumas informações pessoais, mas a tempestade de comentários no tópico sugeriu que milhares de imagens foram baixadas antes que a empresa estivesse ciente da violação. Chá disse 404 Mídia que havia lançado “uma investigação completa com a assistência de empresas externas de segurança cibernética” e que estava trabalhando com a aplicação da lei “para ajudar” em sua investigação.
O chá estava armazenando as informações confidenciais de seus usuários no Firebase, um serviço de armazenamento e computação em nuvem de propriedade do Google. Desde 2023, o chá não exige mais que os usuários enviem fotos de seus IDs para fins de verificação. Enquanto a empresa inicialmente insistiu que o hack afetou apenas seu banco de dados “Legacy” e usuários que se inscreveram antes de fevereiro de 2024, de acordo com o pesquisador independente e o Data Trove revisado por 404 MídiaO chá permanece inseguro, muito além do escopo do hack original, e as mensagens privadas enviadas até a semana passada são acessíveis e vulneráveis a uma exposição adicional.
Desde o aumento do chá em uso entre as mulheres, atraiu críticas mais irritadas e ira entre os chamados grupos de “direitos dos homens” on-line.
Homens que descobriram que apareceram no aplicativo chamaram de rede “tóxica”. Alguns estão se tornando virais em Tiktok e X, alegando que as afirmações feitas sobre eles são difamatórias e totalmente falsas. “A questão é que as pessoas (especialmente as mulheres) não verão isso como um problema até que a versão masculina do aplicativo seja criada. Eu mereço conhecer o histórico DST da minha data, a contagem de corpos etc.”, diz um comentário com melhor classificação em um tópico no Subreddit R/Mensrights. Um aplicativo de retaliação com Women foi criado logo depois, chamado TeaBorn, mas foi prontamente retirado após relatos de usuários postando pornografia de vingança.
Vários especialistas em segurança cibernética e privacidade de dados chamaram os métodos de armazenamento do Tea, o que levou ao hack inicial, negligente.
“Esses dados foram originalmente armazenados em conformidade com os requisitos de aplicação da lei relacionados à prevenção do cyber-bullying”, afirmou a empresa inicialmente na declaração fornecida a 404 Mídia.
Peter Dordal, professor de redes e segurança on -line da Universidade Loyola em Chicago, disse A beira que ele acredita que a declaração da empresa – que ela estava em conformidade com a lei – é “enganosa” e que a empresa poderia ter feito mais para impedir esse pesadelo de segurança cibernética. “(A declaração) é enganosa em duas acusações: antes de tudo, a aplicação da lei não estabelece requisitos; esse é o trabalho do Congresso e das legislaturas estaduais. O chá não citou o requisito legal real”, disse Dordal. “Segundo, se havia uma necessidade legal legítima de manter essas imagens, elas não deveriam ter sido acessíveis on -line; eles claramente não são necessários para a atividade comum do local”.
Dordal acrescentou que, embora seja comum os dados do usuário serem armazenados na nuvem, o chá deveria ter tomado medidas para garantir que não pudesse ser acessado pelo público. Os termos e condições do chá também afirmam que exclui os dados do usuário após a verificação, o que aparentemente não conseguiu.
“O chá definitivamente teve práticas de segurança negligentes se os relatórios atuais forem verdadeiros”, disse Grant Ho, professor assistente da Universidade de Chicago que pesquisa a segurança da computação. “Uma empresa nunca deve hospedar os dados privados dos usuários em um servidor acessível ao público e, no mínimo, os dados deveriam ter sido armazenados criptografados”.
Andrew Guthrie Ferguson, professor de direito da Universidade George Washington e especialista em vigilância de big data, ressalta que uma rede de sussurros na Internet não é mais salvaguardada como uma rede de sussurros real poderia ser quando operar offline. Seus dados não estão mais sob seu controle.
“O que muda quando é digital, recuperável e salvável e pesquisável é que você perde o controle sobre ele”, disse Ferguson. “Você não pode mantê -lo dentro dos limites das pessoas em quem confia.”
