ハッカーによるTeaアプリへの侵入により、数万件におよぶユーザーのセルフィーや政府発行の身分証明書の写真が流出しました。
Teaアプリは、女性専用の人気プラットフォームで、現在・過去・または興味のある男性についての個人情報を投稿できるサービスです。
Teaの広報担当者が、このデータ流出を確認しました。
同社によると、攻撃者は約72,000枚の画像を含むデータベースにアクセスしたとのことです。その中には、13,000件の本人確認用セルフィーや政府発行の身分証明書の写真が含まれていました。
漏えいしたデータには、ユーザーがサインアップ時に本人確認のために提出したコンテンツが含まれています。
Teaアプリの仕組み
Teaは最近ソーシャルメディア上で注目を集め、Apple App Storeで無料アプリのダウンロード数1位を獲得しました。
このアプリは「バーチャルな口コミネットワーク」として機能し、女性が男性の写真をアップロードし、名前で検索したり、「レッドフラッグ(要注意)」または「グリーンフラッグ(良好)」とラベル付けして匿名でレビューを共有したりできます。
アプリはユーザーの匿名性を保証し、スクリーンショットの撮影を禁止しています。
Teaアプリに登録するには、性別を証明するためのセルフィーを提出する必要があります。
このステップは「安全性と排他性を確保するため」と同社は説明しています。
Teaの公式サイトでは、これらのセルフィーは短時間の審査後に削除されると記載されていますが、今回のデータ流出を受けてその主張は疑問視されています。
Teaアプリのデータ流出:詳細
Teaの広報担当者によると、流出したデータは2年以上前に保管されていたデータベースに保存されていたものです。
このデータはもともと「サイバーいじめ防止に関連する法執行機関の要件に準拠するため」にアーカイブされたものだと説明しています。
今回のデータ流出後、Teaは第三者のサイバーセキュリティ企業と協力し、システムの安全確保に「昼夜を問わず」取り組んでいると発表しました。
同社は「ユーザーのプライバシーとデータ保護は最優先事項です」と述べ、「再発防止のために必要なあらゆる措置を講じている」としています。
しかし事態は月曜日に悪化しました。
404 Mediaが第2の脆弱性を報告し、2023年初頭から先週までにアプリ上で交わされた110万件以上のダイレクトメッセージに不正アクセスできる欠陥が発見されたのです。
これらのメッセージの中には、ユーザーを特定しうる極めて個人的な情報も含まれていました。
サイバーセキュリティ研究者のKasra Rahjerdi氏は、この脆弱性によって、第三者がユーザーにプッシュ通知を送信できる可能性があったと述べています。
また、彼が報告する前に他者がこのデータにアクセスしていた可能性もあるとしていますが、実際にデータがダウンロードされたかどうかは不明です。
Teaは現在、影響を受けたシステムをオフラインにし、被害ユーザーに無料の個人情報保護サービスを提供する計画を発表しました。
さらに、流出した可能性のある個人データの特定にも取り組んでいます。
オンラインフォーラムの関与と悪用の可能性
Tea アプリの侵害は、特定のオンライン コミュニティでの活動に関連しているようです。
物議を醸しているサイト 4Chan では、Tea をターゲットにした “hack-and-leak” キャンペーンを求める投稿が公開されました。
金曜日の朝には、4Chanのユーザーが盗まれた画像をダウンロードできるとされるリンクを投稿し、その後、Teaユーザーの身分証明書と見られる写真が4ChanやX(旧Twitter)上で出回りました。
ただし、その真正性は独自には確認されていません。
さらに、Teaアプリのデータ流出によって影響を受けたユーザーの位置情報を示すとされるGoogleマップが作成されました。
名前は含まれていませんが、位置データの流出は安全性とプライバシーに対する懸念を一層高めています。
流出したデータの一部が米軍基地関係者の身元を特定するために使用されたという報告もあった。
あるサイバー犯罪フォーラムでは「セルフィーと身分証明書を含む55GBのデータダンプを販売している」との主張も見られました。
複数の研究者によると、Googleが提供するクラウドサービス「Firebase」の設定ミスが、ハッカーの侵入経路となった可能性が高いとのことです。
このストレージバケットは、流出が公表される以前から一般公開状態になっていたと確認されています。
ユーザーの反応
今回のTeaアプリのデータ流出により、多くのユーザーが怒りと不安の声を上げています。
アプリはサインアップ時に「確認用画像は審査後に削除される」と明記しており、その信頼が裏切られた形です。
TeaのInstagramページには、失望や批判のコメントが相次いでおり、中には「何百万もの新規登録者がいると発表されたのに、まだ自分はウェイトリストのままだ」と不満を述べるユーザーもいました。
この論争は、アプリの目的そのものに対する議論にもつながっています。
Teaは、女性が自衛し、経験を共有するためのプラットフォームとして設計されましたが、批判者たちは「根拠のない告発やネットいじめを助長する可能性がある」と指摘しています。
一部の男性は、誤解や虚偽の「レッドフラッグ」指定により、名誉を傷つけられる可能性を懸念しています。