Hacker News 中文摘要

RSS订阅

茶饮应用泄露事件恶化,第二数据库曝光用户聊天记录 -- Tea app leak worsens with second database exposing user chats

原文链接 | HN讨论 | 2025-07-29 20:50:02

文章摘要

Tea应用数据泄露事件进一步恶化,第二个数据库暴露了用户聊天记录,导致更多隐私信息被公开,引发广泛关注。

文章总结

标题:Tea应用数据泄露加剧,第二个数据库暴露用户聊天记录

主要内容:

Tea应用的数据泄露事件进一步恶化,继首次泄露后,第二个数据库被发现,其中包含了110万条用户之间的私密聊天记录。Tea应用是一个专为女性设计的约会安全平台,用户需提供自拍照和政府ID进行验证才能使用。此次泄露的数据包括用户的驾照、自拍照以及应用内的评论和图片。

泄露事件始于7月28日,匿名用户在4chan上发布消息称,Tea应用使用了一个未加密的Firebase存储桶来存储用户的验证信息。随后,黑客论坛上开始分享泄露数据的种子文件,进一步扩大了泄露范围。BleepingComputer确认,泄露的数据中包含了用户的驾照、自拍照以及消息附件。

更糟糕的是,404 Media报道称,发现了第二个数据库,其中包含了2023年至上周的110万条私密聊天记录,涉及敏感话题如堕胎、出轨等。研究人员Kasra Rahjerdi指出,任何Tea用户都可以通过API密钥访问这些数据,用户身份可能通过社交媒体资料、电话号码等个人信息被识别。

Tea应用表示,他们正在与第三方网络安全专家合作,调查此次攻击,并已通知执法部门协助调查。此外,Tea应用还表示将加强安全措施,并为受影响的用户提供免费的身份保护服务。

此次泄露事件不仅暴露了用户的隐私,还可能导致社会工程攻击,甚至有人创建了“facesmash”风格的网站,供用户对泄露的自拍照进行评分。

评论总结

评论主要围绕一款名为“Tea”的应用程序及其数据泄露事件展开,观点多样且涉及隐私、安全、道德等多个方面。

  1. 隐私与安全问题

    • 多位评论者对该应用的隐私保护措施表示担忧,认为其安全模型存在缺陷。例如,igor47指出Firebase的默认设置导致数据库权限管理困难,增加了数据泄露的风险:“the default is open-to-the-world with credentials in the client app.”(默认设置是开放的,客户端应用中包含凭证。)
    • jc4p作为安全研究员,详细描述了数据泄露的技术细节,强调Firebase数据库的开放权限导致了IDOR漏洞:“The issue is you could just take the Firebase Auth key, talk to Firebase directly, and they had the read/write/update/delete permissions open to all users.”(问题在于你可以直接使用Firebase Auth密钥与Firebase通信,而他们对所有用户开放了读写更新删除权限。)

  2. 道德与法律争议

    • 部分评论者认为该应用的内容涉及诽谤和网络欺凌,可能引发法律问题。deepfriedchokes质疑:“Would these leaked communications expose their users to libel charges?”(这些泄露的通信是否会让用户面临诽谤指控?)
    • mg794613则认为揭露这些诽谤圈子并非坏事:“Discovery of heinous defamation circles, doesn't sound like something to look away from or feel sorry for.”(发现恶劣的诽谤圈子,听起来不像是应该回避或感到遗憾的事情。)

  3. 社会影响与反应

    • 评论者对该应用的社会影响持不同看法。comrade1234表示浏览泄露数据后感到压抑,认为用户群体普遍存在心理问题:“It's depressing - so much toxicity. Everyone seems mentally ill to me.”(这令人沮丧——太多毒性。在我看来,每个人似乎都有心理问题。)
    • budududuroiu则对比了Tea和Kiwifarms的社会反响,认为后者更为有害但未引起同等关注:“Kiwifarms never gets this level of outrage going, and I’d argue it’s an order of magnitude more toxic to society than Tea would be.”(Kiwifarms从未引起这种程度的愤怒,我认为它对社会的危害比Tea大得多。)

  4. 技术建议与反思

    • cmxch呼吁加强数据隐私保护,避免类似应用的出现:“Consider advocating for data privacy that makes Tea a nonstarter?”(考虑倡导数据隐私,使Tea无法启动?)
    • exabrial则反思了上传他人照片的道德问题,认为未经同意的行为是错误的:“I think it's wrong to upload someone's photo without their consent or knowledge.”(我认为未经同意或知情上传他人照片是错误的。)

总结来看,评论者对该应用的数据泄露、隐私保护、道德争议和社会影响展开了广泛讨论,既有技术层面的批评,也有道德和社会层面的反思。