Dos vulnerabilidades de seguridad críticas en la app Tea – que promete hacer las citas más seguras para las mujeres – han expuesto las conversaciones privadas y datos personales de decenas de miles de usuarios.
La aplicación, diseñada para permitir que las mujeres compartan «red flags» sobre hombres con los que habían salido, llegó al primer puesto en el App Store la semana pasada, presumiendo de 4 millones de usuarios activos…
¿Qué hace la app Tea?
La aplicación Tea permite a usuarias marcar los perfiles de citas masculinos con diversas «banderas rojas», además de permitir búsquedas inversas de imágenes para identificar a los hombres detrás de los perfiles. Estas banderas van desde ghosting hasta estar en una relación existente o incluso agresión sexual.
La app ya generaba controversia por temas de privacidad, con algunos hombres argumentando que era injusto vincular sus perfiles a sus redes sociales, pero eso era solo el comienzo.
La primera brecha de seguridad de Tea
404 Media reportó la semana pasada que usuarios de 4chan descubrieron una base de datos expuesta que contenía datos personales, incluyendo selfies e imágenes de licencias de conducir utilizadas para verificar su identidad en la app.
Los usuarios dicen que están revisando los datos personales y selfies subidos a la app, y luego publicando esa información online, según capturas de pantalla, posts de 4chan y código revisado por 404 Media. En una declaración a 404 Media, Tea confirmó que la brecha también impactó algunos mensajes directos, pero dijo que los datos eran de hace dos años.
Esto ocurre a pesar de que el desarrollador afirmaba que los documentos de identidad se eliminan después de la verificación.
Pero la situación empeoró
Sin embargo, la afirmación de que los datos tenían dos años de antigüedad no duró mucho. En un reporte de seguimiento, 404 Media informó que los hackers pudieron acceder a mensajes privados entre usuarios – con datos tan recientes como una semana atrás.
Un segundo problema de seguridad importante con la app de seguridad en citas femeninas Tea ha expuesto muchos más datos de usuario que la primera brecha que reportamos la semana pasada, con un investigador de seguridad independiente descubriendo ahora que era posible para hackers acceder a mensajes entre usuarios discutiendo abortos, parejas infieles y números de teléfono que se enviaron entre ellas.
A pesar de la declaración inicial de Tea de que «el incidente involucró un sistema de almacenamiento de datos heredado que contenía información de hace más de dos años», el segundo problema que afecta a una base de datos separada es mucho más reciente, afectando mensajes hasta la semana pasada.
Datos masivos expuestos
Aunque los chats estaban asociados con nombres de usuario en lugar de nombres reales, el sitio encontró que el contenido de las conversaciones hacía que fuera trivial identificar a los titulares de las cuentas. Las usuarias frecuentemente habían compartido enlaces de redes sociales entre ellas, por ejemplo.
De manera similar, era igual de fácil identificar a los hombres acusados de comportamientos incorrectos.
Los reportes indican que más de 70,000 imágenes han sido expuestas, pero esto podría ser solo la punta del iceberg dado que la compañía dijo tener 1.6 millones de usuarios antes de que se descubriera la primera brecha.
Fallas de seguridad básica
Los selfies y foto ID utilizados para verificar identidades nunca deberían retenerse una vez que el proceso está completo, y los chats privados entre usuarios deberían estar protegidos por cifrado de extremo a extremo.
Que ninguna de estas medidas básicas de seguridad fuera seguida sería motivo de preocupación en cualquier app, pero especialmente en una que afirma proteger a las mujeres y que activamente fomenta el compartir los datos personales más sensibles.
Es también algo irónico que esto haya ocurrido la misma semana en que la ley del Reino Unido exige que las compañías tecnológicas proporcionen al gobierno británico acceso backdoor a mensajes privados.
