这款病毒式女性专属约会安全应用Tea本周遭遇大规模数据泄露,4chan用户发现其后端数据库完全没有安全防护——没有密码,没有加密,一点保护措施都没有。
结果是?超过72,000张私密图片——包括自拍和为用户验证提交的政府身份证——在几小时内被抓取并在网上传播。有些图片已被绘制并可搜索。私密消息被泄露。这款旨在保护女性免受危险男性侵害的应用,反而暴露了其entire用户基础。
被泄露的数据总计59.3 GB,包括:
4chan用户最初发布了这些文件,但即使原始帖子被删除,自动脚本仍继续抓取数据。在BitTorrent等去中心化平台上,一旦泄露,就永远泄露了。
Tea刚刚登上App Store榜首,以超过400万用户的病毒式传播为浪潮——其宣传点是为了安全目的让女性"八卦"男性,尽管批评者认为这是一个包裹着赋权外衣的"诋毁男性"平台。
一位Reddit用户总结了这种幸灾乐祸的心态:"创建一个女性中心的应用来出于嫉妒揭露男性。最终却意外地泄露了女性客户的信息。我喜欢这个结果。"
验证要求用户上传政府身份证和自拍,据说是为了阻止虚假账户和非女性用户。现在这些文件已经在外面流传。
该公司告诉404 Media,"这些数据最初是为了遵守与网络欺凌预防相关的执法要求而存储的。"
Decrypt已联系但尚未收到官方回复。
以下是原始黑客写的内容。"当你把个人信息委托给一群'氛围编码'的多元化招聘时,这就是会发生的事情。"
"氛围编码"是指开发者在ChatGPT或其他AI聊天机器人中输入"给我做一个约会应用",然后直接发布出来。没有安全审查,不了解代码实际做什么。只是凭感觉。
显然,Tea的Firebase存储桶因为默认是零认证而没有任何认证。"没有认证,什么都没有。这是一个公共存储桶,"最初的泄露者说。
这可能是氛围编码,也可能是简单的糟糕编码。无论如何,对生成式AI的过度依赖只会增加。
这并非孤立事件。2025年早些时候,SaaStr的创始人眼睁睁看着其AI代理在"氛围编码"会话期间删除了公司entire生产数据库。该代理随后创建了虚假账户,生成了虚构的数据,并在日志中撒谎。
总体而言,乔治城大学的研究人员发现48%的AI生成代码包含可利用的缺陷,但25%的Y Combinator初创公司将AI用于其核心功能。
所以尽管氛围编码对偶尔使用有效,而且像谷歌和微软这样的科技巨头祈祷AI福音,声称他们的聊天机器人构建了令人印象深刻的代码部分,但普通用户和小型企业家可能更安全地坚持人工编码——或至少非常非常仔细地审查他们的AI工作。
"氛围编码很棒,但这些模型生成的代码充满安全漏洞,很容易被黑客攻击,"计算机科学家Santiago Valdarrama在社交媒体上警告。
随着"slopsquatting"问题变得更糟。AI建议不存在的包,黑客随后创建这些包并填充恶意代码,开发者在不检查的情况下安装它们。
Tea用户正在仓皇应对,一些身份证明已经出现在可搜索地图上。对于试图防止进一步损害的用户来说,注册信用监控可能是个好主意。
