Ứng dụng hẹn hò an toàn dành riêng cho phụ nữ Tea đã bị rò rỉ dữ liệu quy mô lớn trong tuần này sau khi người dùng trên 4chan phát hiện cơ sở dữ liệu backend của ứng dụng hoàn toàn không được bảo mật - không có mật khẩu, không có mã hóa, không có gì cả.
Kết quả là gì? Hơn 72.000 hình ảnh riêng tư - bao gồm ảnh tự chụp và giấy tờ chính thức được gửi để xác minh người dùng - đã bị trích xuất và lan truyền trực tuyến trong vòng vài giờ. Một số đã được ánh xạ và có thể tìm kiếm được. Các tin nhắn riêng đã bị rò rỉ. Ứng dụng được thiết kế để bảo vệ phụ nữ khỏi những người đàn ông nguy hiểm đã vô tình phơi bày toàn bộ cơ sở người dùng của mình.
Dữ liệu bị phơi bày, tổng cộng 59,3 GB, bao gồm:
Người dùng 4chan ban đầu đã đăng các tệp này, nhưng ngay cả sau khi chủ đề gốc bị xóa, các tập lệnh tự động vẫn tiếp tục trích xuất dữ liệu. Trên các nền tảng phi tập trung như BitTorrent, một khi dữ liệu đã bị rò rỉ thì sẽ không thể thu hồi.
Tea vừa đạt vị trí #1 trên App Store, đang trên đà viral với hơn 4 triệu người dùng. Mục tiêu của ứng dụng là tạo không gian dành riêng cho phụ nữ để "bàn tán" về đàn ông vì mục đích an toàn - mặc dù các nhà phê bình cho rằng đây là một nền tảng "chê bai đàn ông" được bọc trong vỏ bọc trao quyền.
Một người dùng Reddit đã tóm tắt không khí hả hê: "Tạo một ứng dụng dành cho phụ nữ để phơi bày thông tin cá nhân của đàn ông do ghen tức. Kết quả là vô tình phơi bày thông tin của chính các khách hàng nữ. Tôi thích điều này."
Việc xác minh yêu cầu người dùng tải lên giấy tờ chính thức và ảnh tự chụp, được cho là để ngăn chặn các tài khoản giả và người không phải là nữ. Giờ đây những tài liệu đó đã bị phát tán.
Công ty đã nói với 404 Media rằng "dữ liệu này ban đầu được lưu trữ để tuân thủ các yêu cầu của cơ quan thực thi pháp luật liên quan đến việc ngăn chặn cyber-bullying".
Decrypt đã liên hệ nhưng chưa nhận được phản hồi chính thức.
Đây là những gì hacker gốc đã viết. "Đây là điều xảy ra khi bạn giao phó thông tin cá nhân của mình cho một nhóm nhân viên DEI viết mã theo cảm tính".
"Vibe coding" là khi các nhà phát triển gõ "hãy tạo cho tôi một ứng dụng hẹn hò" vào ChatGPT hoặc trợ lý AI khác và xuất bản bất cứ thứ gì được tạo ra. Không có đánh giá bảo mật, không hiểu rõ mã thực sự làm gì. Chỉ là cảm tính.
Rõ ràng, bucket Firebase của Tea không có xác thực nào vì đó là những gì các công cụ AI tạo ra theo mặc định. "Không có xác thực, không có gì cả. Đó là một bucket công cộng," người rò rỉ ban đầu cho biết.
Có thể đây là "vibe coding" hoặc chỉ đơn giản là mã hóa kém. Dù sao thì sự phụ thuộc quá mức vào AI sinh sản cũng đang gia tăng.
Đây không phải là một sự cố biệt lập. Đầu năm 2025, người sáng lập SaaStr đã chứng kiến tác nhân AI của mình xóa toàn bộ cơ sở dữ liệu sản xuất trong một phiên "vibe coding". Tác nhân sau đó tạo các tài khoản giả, tạo ra dữ liệu ảo và nói dối trong nhật ký.
Nhìn chung, các nhà nghiên cứu từ Đại học Georgetown đã phát hiện ra 48% mã được AI tạo ra chứa các lỗ hổng có thể khai thác, nhưng 25% các startup của Y Combinator vẫn sử dụng AI cho các tính năng cốt lõi.
Vì vậy, mặc dù "vibe coding" có hiệu quả cho việc sử dụng thỉnh thoảng, và các ông lớn công nghệ như Google và Microsoft cầu nguyện theo giáo lý AI tuyên bố các chatbot của họ xây dựng một phần ấn tượng của mã, nhưng người dùng thông thường và các doanh nhân nhỏ có thể an toàn hơn nếu dựa vào mã hóa của con người - hoặc ít nhất là xem xét kỹ lưỡng công việc của AI của họ.
Nhà khoa học máy tính Santiago Valdarrama đã cảnh báo trên mạng xã hội: "Vibe coding rất tuyệt, nhưng mã do các mô hình này tạo ra đầy những lỗ hổng bảo mật và có thể dễ dàng bị hack".
Vấn đề trở nên tồi tệ hơn với "slopsquatting". AI đề xuất các gói không tồn tại, sau đó các hacker tạo ra các gói đó chứa mã độc, và các nhà phát triển cài đặt chúng mà không kiểm tra.
Người dùng Tea đang hoảng loạn, và một số giấy tờ đã xuất hiện trên các bản đồ có thể tìm kiếm được. Đăng ký theo dõi tín dụng có thể là một ý tưởng tốt cho những người dùng muốn ngăn chặn thiệt hại thêm.
