Tea, una aplicación de seguridad de citas para mujeres que recientemente se subió a la cima de los listados gratuitos de la tienda de aplicaciones iOS, sufrió una gran violación de seguridad la semana pasada. La compañía confirmó el viernes que «identificó el acceso autorizado a uno de nuestros sistemas» que expuso miles de imágenes de usuarios. Y ahora sabemos que se accedió a DMS durante la violación también.
Los hallazgos preliminares de TEA desde el final de la semana pasada mostraron que la violación de datos expuso aproximadamente 72,000 imágenes: 13,000 imágenes de selfies e identificación fotográfica que las personas habían enviado durante la verificación de la cuenta, y 59,000 imágenes que se podían ver públicamente en la aplicación de publicaciones, comentarios y mensajes directos.
Esas imágenes habían sido almacenadas en un «sistema de datos heredados» que contenía información de hace más de dos años, dijo la compañía en el comunicado. «En este momento, no hay evidencia que sugiera que los datos de los usuarios actuales o adicionales se vieron afectados».
El viernes temprano, las publicaciones en Reddit y 404 Media informaron que las caras e ID de los usuarios de aplicaciones de té habían sido publicadas en el tablero de mensajes en línea anónimo 4chan. TEA requiere que los usuarios verifiquen sus identidades con selfies o ID, por lo que las licencias de conducir y las imágenes de las caras de las personas están en los datos filtrados.
Y el lunes, un portavoz de TEA confirmó a CNET que además «aprendió recientemente que se accedió a algunos mensajes directos (DMS) como parte del incidente inicial». El té también ha descartado el sistema afectado fuera de línea. Esa confirmación siguió a un informe de 404 Media el lunes que un investigador de seguridad independiente descubrió que hubiera sido posible para los piratas informáticos obtener acceso a DMS entre los usuarios de té, afectando los mensajes enviados a la semana pasada en la aplicación TEA.
Tea dijo que ha lanzado una investigación completa para evaluar el alcance y el impacto de la violación.
Demanda colectiva presentada
Uno de los usuarios de la aplicación Tea, Griselda Reyes, ha presentado una demanda colectiva en nombre de sí misma y otros usuarios de TEA afectados por la violación de datos. Según los documentos judiciales presentados el 28 de julio, según lo informado anteriormente por 404 Media, Reyes está demandando al té por su supuesta «incapacidad para asegurar y salvaguardar adecuadamente … información de identificación personal».
«Poco después de que se anunciara la violación de datos, los usuarios de Internet afirmaron haber mapeado las ubicaciones de los usuarios de TEA en función de los metadatos contenidos de las imágenes filtradas», alega la queja. «Por lo tanto, en lugar de empoderar a las mujeres, el té las ha puesto en riesgo de daño grave».
Tea aún no ha notificado personalmente a sus clientes sobre que se violan sus datos, alega la queja.
La queja busca el estado de acción de clase, los daños para los afectados «en una cantidad a determinar» y ciertos requisitos para que TEA mejore su almacenamiento de datos y prácticas de manejo.
Scott Edward Cole de Cole & Van Note, el bufete de abogados que representa a Reyes, le dijo a CNET que está «aturdido» por la supuesta falta de protecciones de seguridad.
«Esta aplicación se anunció como un lugar seguro para que las mujeres compartieran información, a veces información muy íntima, sobre sus experiencias de citas. Pocas personas tomarían ese riesgo si hubieran sabido que las citas de té pusieron tan poco esfuerzo en su ciberseguridad», alegó Cole. «Un objetivo principal de nuestra demanda es obligar a la empresa a comenzar a tomar la privacidad del usuario mucho más en serio».
Tea no respondió de inmediato a una solicitud de comentarios sobre la demanda colectiva.
¿Cuál es la aplicación de té?
La premisa del té es proporcionar a las mujeres un espacio para informar interacciones negativas que han tenido al encontrar a los hombres en el grupo de citas, con la intención de mantener seguras a otras mujeres.
Actualmente, la aplicación se encuentra en el puesto número 2 para aplicaciones gratuitas en la tienda de aplicaciones estadounidense de Apple, justo después de Chatgpt, atrayendo la atención internacional y generando un debate sobre si la aplicación viola la privacidad de los hombres. Después de la noticia de la violación de datos, también reproduce el debate continuo más amplio sobre si la identidad en línea y la verificación de edad presentan un riesgo de seguridad inherente para los usuarios de Internet.
En la sección de privacidad en su sitio web, TEA dice: «El consejo de citas de té requiere medidas de seguridad razonables para proteger su información personal para evitar pérdidas, mal uso, acceso no autorizado, divulgación, alteración y destrucción. Sin embargo, tenga en cuenta que a pesar de nuestros esfuerzos, no hay medidas de seguridad impenetrables».