女性约会安全应用Tea发生的第二起数据泄露事件发生得更早,泄露了超过一百万条敏感用户信息,其中包括关于堕胎、不忠和共享联系信息的讨论。此漏洞不仅危及了私人对话,还使匿名用户的身份暴露变得轻而易举。404 Media报道:尽管Tea最初的声明称“该事件涉及一个包含两年多前信息的旧数据存储系统”,但根据404 Media核实的研究人员的发现,影响另一个数据库的第二个问题发生得更晚,影响了截至上周的信息。研究人员表示,他们还发现了可以向所有Tea用户发送推送通知的功能。这些数据的敏感程度,以及如果落入不法之徒手中,可能会给Tea用户带来的风险,怎么说都不为过。Tea鼓励用户在注册时选择匿名用户名,但考虑到Tea诱导404 Media误以为用户信息是私密的,404 Media很容易就能找到一些用户的真实身份。通过聊天中分享的社交媒体用户名、电话号码和真实姓名,可以轻松找到用户。这些对话还经常对私人消息中提到的人进行严厉的指控,在某些情况下,这些人很容易被识别。目前尚不清楚还有谁发现了这个安全问题并从更新的数据库中下载了数据。4chan 的成员上周发现了第一个暴露的数据库,并将数以万计的 Tea 用户图像公开供下载。Tea 告诉 404 Media,它已经联系了执法部门。[…] Rahjerdi 表示,这次新的数据泄露是由于任何 Tea 用户都可以使用自己的 API 密钥访问更新的用户数据库。这位研究人员表示,这个问题一直存在到上周晚些时候。此次泄露包括大量 Tea 用户的私人消息。在某些情况下,这些女性会交换电话号码,以便她们可以在平台之外继续对话。第一次泄露是由于应用程序开发平台 Firebase 的一个暴露实例,影响了数以万计的自拍照和驾照图像。当时,Tea 在一份声明中表示“没有证据表明当前或其他用户数据受到了影响。”第二个数据库包含一个名为“sent_at”的数据字段,其中许多消息被标记为上周发送的最新消息。
在 Slashdot 上阅读更多内容。