Teaアプリのデータ漏洩はさらに大規模な流出へと発展し、盗まれたデータがハッキングフォーラムで共有され、アプリのメンバー間でやり取りされた110万件のプライベートメッセージが含まれるとされる2つ目のデータベースも発見されました。
Teaアプリは、女性限定の出会い系安全プラットフォームで、メンバーが男性についてのレビューを共有できます。プラットフォームへのアクセスは、セルフィーと政府発行のIDによる本人確認を行った後にのみ許可されます。
金曜日、匿名のユーザーが4chanに、Teaがメンバーによる本人確認のためにアップロードされた運転免許証やセルフィー、コメントで共有された写真や画像を、セキュリティが確保されていないFirebaseストレージバケットに保存していたと投稿しました。
このユーザーは、現在は保護されたストレージバケットからデータをダウンロードできるPythonスクリプトを共有しました。
合計で59GB以上のデータが流出し、Teaは公開声明で2024年以前に登録したユーザーが影響を受けていることを認めています。
「レガシーデータストレージシステムが侵害され、2024年2月以前のデータセットへの不正アクセスが発生しました」とセキュリティ侵害のお知らせには記載されています。
「このデータセットには、約72,000枚の画像(うち約13,000枚はユーザーがアカウント認証時に提出したセルフィーや写真付き身分証明書、約59,000枚はアプリ内の投稿、コメント、ダイレクトメッセージで公開されていた画像)が含まれています。」
プラットフォームによると、セルフィーはサイバーいじめ防止に関連する法執行機関の要件に従うため、期待通りには削除されていなかったとのことです。
現在、脅威アクターが流出データのトレントをハッキングフォーラムで共有し始めており、アプリのメンバーがソーシャルエンジニアリング攻撃にさらされる可能性があります。
BleepingComputerは、共有されたデータに運転免許証、セルフィー、メッセージの添付ファイルが含まれていることを確認しました。
さらに悪いことに、404 Mediaの報道によると、Teaプラットフォームのユーザー間で送信された110万件のプライベートメッセージを含む追加のデータベースが発見されました。
このデータベースには2023年から先週までの、より最近のデータが含まれており、中絶、不倫夫、二股彼氏などのセンシティブな話題を含むメッセージも含まれているとされています。
404 Mediaによれば、メッセージ内で明かされたソーシャルメディアのプロフィールや電話番号、その他の個人情報からユーザーを特定できる可能性があります。
女性のための安全な空間となるはずだったものが、今や彼女たちを辱めるツールとなってしまい、流出したセルフィーを評価できる「facesmash」風のサイトまで作られています。
Teaは、インシデントの封じ込めと攻撃の調査のため、引き続き外部のサイバーセキュリティ専門家と協力していると述べています。
また、アプリ側は捜査当局にも通知し、調査に協力してもらっているとしています。
クラウド検知&レスポンス入門
ビジネスに影響が出る前に、リアルタイムで新たな脅威を封じ込めましょう。
この実践的で分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。