女性约会应用 Tea 数据泄漏，第二个数据库暴露用户聊天记录

Tea 应用程序数据泄露事件已发展成为更大规模的泄密事件，被盗数据现已在黑客论坛上分享，并且已发现第二个数据库，据称其中包含该应用程序成员之间交换的 110 万条私人消息。

Tea 应用程序是一个仅限女性的约会安全平台，会员可以在该平台上分享对男性的评论，只有提供自拍照和政府身份验证后才能访问该平台。

周五，一位匿名用户在 4chan 上发帖称，Tea 使用不安全的 Firebase 存储桶来存储驾照和会员上传的自拍照，以验证她们是女性，以及评论中分享的照片和图像。

用户分享了一个 Python 脚本，可用于从现在安全的存储桶中下载数据。

此次泄露总共暴露了超过 59 GB 的数据，Tea 在一份公开声明中证实，此次泄露影响到了 2024 年之前注册的用户。

一份安全漏洞公告称：“遗留的数据存储系统遭到入侵，导致 2024 年 2 月之前的数据集被未经授权访问。”

“该数据集包含约 72,000 张图片，其中包括用户在帐户验证期间提交的约 13,000 张自拍照和照片识别，以及约 59,000 张可在应用程序中公开查看的帖子、评论和直接消息中的图片。”

该平台表示，自拍照并未按预期被删除，这是为了遵守与预防网络欺凌相关的执法要求。

威胁组织现在已经开始在黑客论坛上分享泄露的数据，这可能会使该应用程序的成员面临社会工程攻击。

BleepingComputer 已确认共享数据包含驾驶执照、自拍照和消息附件。

更糟糕的是，404 Media 报告称，发现了一个额外的数据库，其中包含 Tea 平台用户之间发送的 110 万条私人消息。

该数据库包含更多近期数据，从 2023 年到上周，据报道包括讨论敏感话题的信息，例如有关堕胎、丈夫出轨和男友不忠等话题。

发现新数据库的研究员 Kasra Rahjerdi 告诉 404 Media，任何 Tea 用户都可以使用自己的 API 密钥访问存储的用户数据。

据 404 Media 称，可以根据社交媒体资料、电话号码或消息中透露的其他个人信息来识别用户。