A violação de dados do aplicativo Tea se transformou em um vazamento ainda maior, com os dados roubados agora compartilhados em fóruns de hackers e um segundo banco de dados descoberto que supostamente contém 1,1 milhão de mensagens privadas trocadas entre os membros do aplicativo.
O aplicativo Tea é uma plataforma de segurança de namoro exclusiva para mulheres, onde os membros podem compartilhar avaliações sobre homens, com acesso à plataforma concedido apenas após fornecer uma selfie e verificação de identidade do governo.
Na sexta-feira, um usuário anônimo postou no 4chan que o Tea usou um balde de armazenamento Firebase não seguro para armazenar carteiras de motorista e selfies enviadas por membros para verificar se são mulheres, bem como fotos e imagens compartilhadas nos comentários.
O usuário compartilhou um script Python que poderia ser usado para baixar os dados do bucket de armazenamento agora seguro.
No total, mais de 59 GB de dados foram expostos no vazamento, com a Tea confirmando em uma declaração pública que afeta os usuários que se inscreveram antes de 2024.
“Um sistema de armazenamento de dados legado foi comprometido, resultando em acesso não autorizado a um conjunto de dados anterior a fevereiro de 2024”, diz um Anúncio de violação de segurança.
“Este conjunto de dados inclui aproximadamente 72.000 imagens, incluindo aproximadamente 13.000 selfies e identificação com foto enviada pelos usuários durante a verificação da conta e aproximadamente 59.000 imagens visíveis publicamente no aplicativo a partir de postagens, comentários e mensagens diretas.”
A plataforma afirma que as selfies não foram excluídas conforme o esperado para cumprir os requisitos de aplicação da lei relacionados à prevenção do cyberbullying.
Os agentes de ameaças começaram a compartilhar torrents dos dados vazados em fóruns de hackers, potencialmente expondo os membros do aplicativo a ataques de engenharia social.
O BleepingComputer confirmou que os dados compartilhados contêm carteiras de motorista, selfies e anexos de mensagens.
Para piorar as coisas, 404 Media agora relata que um banco de dados adicional foi encontrado contendo 1,1 milhão de mensagens privadas enviadas entre usuários na plataforma Tea.
Este banco de dados contém dados muito mais recentes, que vão de 2023 até a semana passada, e supostamente inclui mensagens discutindo tópicos delicados, como aqueles sobre abortos, maridos traidores e namorados de dois tempos.
Kasra Rahjerdi, a pesquisadora que descobriu o novo banco de dados, disse à 404 Media que qualquer usuário do Tea poderia acessar os dados armazenados do usuário usando sua própria chave de API.
De acordo com a 404 Media, é possível identificar usuários com base em perfis de mídia social, números de telefone ou outros detalhes pessoais revelados nas mensagens.
O que era para ser um espaço seguro para as mulheres agora se tornou uma ferramenta para envergonhá-las, com alguém até criando um site no estilo “facesmash”, onde os visitantes podem avaliar as selfies expostas nos dados vazados.
A Tea diz que continua trabalhando com especialistas em segurança cibernética terceirizados para conter o incidente e conduzir uma investigação sobre o ataque.
O aplicativo diz que também notificou as autoridades policiais, que estão auxiliando na investigação.
Atualização 28/07/25 23:41 ET: Tea compartilhou a seguinte declaração com o BleepingComputer em resposta às nossas perguntas sobre o vazamento de dados adicionais.
“Como parte de nossa investigação em andamento sobre o incidente de segurança cibernética envolvendo o Tea App, soubemos recentemente que algumas mensagens diretas (DMs) foram acessadas como parte do incidente inicial”, disse Tea ao BleepingComputer.
“Com muita cautela, colocamos o sistema afetado offline. Neste momento, não encontramos evidências de acesso a outras partes do nosso ambiente.
“Esta é uma investigação em andamento e tentaremos compartilhar atualizações oportunas à medida que mais informações estiverem disponíveis.”
“Nossa equipe continua totalmente engajada em fortalecer a segurança do Tea App e esperamos compartilhar mais sobre essas melhorias em breve. Enquanto isso, estamos trabalhando para identificar todos os usuários cujas informações pessoais estavam envolvidas e ofereceremos serviços gratuitos de proteção de identidade a esses indivíduos.”
