Emanuel Maiberg 和 Joseph Cox再次为 404 Media 报道:
尽管Tea最初声明称“该事件涉及一个包含两年多前信息的旧数据存储系统”,但根据研究人员经404 Media核实的发现,第二个影响独立数据库的问题发生的时间要近得多,影响了截至上周的消息。研究人员表示,他们还发现了向Tea所有用户发送推送通知的功能。
这些数据的敏感程度,以及一旦落入不法之徒之手,可能给Tea的用户带来的风险,无论怎么强调都不为过。Tea鼓励用户在注册时使用匿名用户名,但考虑到用户信息内容的性质,404 Media很容易就能找到他们的真实身份,Tea让404 Media误以为这些信息是私密的。用户可以通过社交媒体账号、电话号码以及他们在聊天中分享的真实姓名轻松找到。这些对话还经常对私信中提到的人进行严厉的指控,在某些情况下,这些人很容易被识别出来。[…]
404 Media 查看的一些私人消息包括:
- 一位用户告诉另一位用户,她刚刚在被讨论的App上发现了自己的丈夫。很多信息都写道:“我是他的妻子。”
- 另一张照片显示,一名女子正在与其他人联系,谈论她已订婚的一名男子。
- 多条信息似乎显示女性正在讨论她们的堕胎事宜。
- 女人们发现她们正在与同一个男人约会,并交换诸如他开什么车之类的信息以供验证。
前几天,我链接到404 Media对Tea最初数据泄露事件的报道时,写道:“我并不是特别指责Tea被‘氛围编码’了”。好吧,我仍然不知道Tea的服务架构是否被‘氛围编码’了,但现在很明显,无论是谁做的,都是无能的。这是一场彻头彻尾的隐私灾难——很可能也是人身安全灾难。鉴于美国目前关于堕胎的讨论和妇女权利的分裂,这也可能成为一场法律灾难。4chan上的小丑们窃取了图片和数据, 制作了Tea用户地址地图,并创建了一个类似马克·扎克伯格“Facemash”的网站,用于对用户外貌进行排名。
对于已经注册并开始使用Tea的女性,我怀疑有什么办法可以避免她们被曝光。即使Tea提供了“删除账户”功能,我也不相信它真的能从他们的数据库中删除任何内容,更不用说全部了。而且,对于那些在Tea收到警报之前就发现了这第二个漏洞的不法分子来说,这已经是大错特错了。
另一个数据点表明,任何不使用 E2EE 的“私人消息”功能实际上根本不是私人的。
原文: https://www.404media.co/a-second-tea-breach-reveals-users-dms-about-abortions-and-cheating/