一款供女性進行男性背景查核、並可匿名揭露可疑行為的交友安全應用程式Tea,近日爆發資安漏洞,駭客入侵後取得高達7萬2,000張用戶照片,數千名會員的自拍照、貼文與留言內容遭外洩。Tea近期人氣飆升,同時也因功能設計引發爭議,有部分聲音批評其帶有「反男性」傾向。
綜合路透、英國廣播公司BBC報導,總部位於美國的女性專屬App「Tea Dating Advice」26日證實遭駭,,並表示已偵測到「未經授權的系統存取」,共有約7萬2,000張圖片外洩。其中包括約1萬3,000張為用戶手持身分證件以進行帳號驗證時所拍攝的照片,依照Tea的隱私政策,此類圖片應在完成驗證後理應「立即刪除」。
該公司在聲明中表示:「我們已聘請第三方資安專家,並全天候努力強化系統安全。」同時強調,此次外洩事件未波及電子郵件或電話號碼,影響範圍僅限於2024年2月以前註冊的用戶。
Tea公司表示,被盜的照片「無法與平台內任何貼文產生連結」。該平台亦設有防截圖機制,以防用戶將貼文外流。然而,Tea日前也承認,另有約5萬9,000張來自過去兩年內的貼文、留言與私訊內容的圖片遭到存取。
Tea表示:「我們正採取一切行動來保護這個社群,現在如此,未來亦然。」
根據獨立媒體404 Media最先披露的報導,來自論壇4chan的用戶聲稱,他們發現Tea的資料庫暴露於Google旗下App雲端應用開發平台Firebase,並已開始翻閱Tea用戶上傳的個資與自拍照,甚至將部分資料公開於網路。根據404 Media審查的截圖、4chan貼文與程式碼,駭客確實取得大量內容。
根據404 Media報導,4chan上的貼文附上一張顯示4位女性駕照的照片,發文者聲稱這些影像已進行塗抹處理。不過其他留言則暗示,Tea用戶的更多照片已外流,一名用戶甚至表示已下載上千張。404 Media也觀察到,部分4chan用戶分享了數十張據稱來自該資料庫的女性照片,其解析度與檔名格式皆與外洩的Firebase清單一致。404 Media強調,該媒體並未從資料庫中載入或開啟任何圖片。
根據Tea的使用條款:「當你首次建立Tea帳號時,我們會要求你創建用戶名稱,並提供所在地、出生日期、照片與身分證照片。」
Tea由軟體工程師庫克(Sean Cook)於2022年11月創立。他曾在5月撰文表示,創辦Tea的靈感來自母親的線上交友經歷。庫克在線上寫作與出版平台Medium寫道:「我驚訝於那些假冒身分的使用者、詐騙者與不法之徒在交友App上如此容易得手,而主流交友平台幾乎毫無防護。」
Tea主打「女性在約會時絕不應為安全讓步」,平台要求用戶通過身分驗證,並允許女性匿名分享對男性的約會經驗,形式類似以用戶評價為核心的商家資訊平台Yelp。該App近期使用人數激增,Tea在Instagram表示,短短數日內已有逾200萬人申請加入。根據《商業內幕》(Business Insider)報導,Tea上周已竄升至美國App Store排行榜首位。
這款App讓女性能查詢潛在約會對象是否已婚、是否為性罪犯,並能進行「反向圖片搜尋」,用以防止他人假冒身分。Tea在App Store與Google Play的頁面寫道:「我們是不是在和同一個男人約會?向我們的匿名女性社群詢問,確認你的約會對象是否安全、是否是假帳號、是否已有對象。」
註冊帳號時,用戶需上傳自拍照,Tea會以此確認其是否為女性。根據404 Media實測,上傳自拍後App會顯示用戶需排隊等候驗證,時間長達17小時,顯示近期申請人數激增。
但Tea最具爭議之處,在於它允許女性分享自己與男性的交往經驗,除了警示「示警红旗」(red flags),也可推薦具有「綠旗」(green flags)的對象。有男性與部分女性批評這類平台,認為它們可能侵犯男性隱私,甚至構成誹謗。
