這款病毒式女性專屬約會安全應用Tea本週遭遇大規模資料洩露,4chan使用者發現其後端資料庫完全沒有安全防護——沒有密碼,沒有加密,一點保護措施都沒有。
結果是?超過72,000張私密圖片——包括自拍和為使用者驗證提交的政府身份證——在幾小時內被抓取並在網上傳播。有些圖片已被繪製並可搜尋。私密訊息被洩露。這款旨在保護女性免受危險男性侵害的應用,反而暴露了其entire使用者基礎。
被洩露的資料總計59.3 GB,包括:
4chan使用者最初發布了這些檔案,但即使原始帖子被刪除,自動指令碼仍繼續抓取資料。在BitTorrent等去中心化平臺上,一旦洩露,就永遠洩露了。
Tea剛剛登上App Store榜首,以超過400萬用戶的病毒式傳播為浪潮——其宣傳點是為了安全目的讓女性"八卦"男性,儘管批評者認為這是一個包裹著賦權外衣的"詆譭男性"平臺。
一位Reddit使用者總結了這種幸災樂禍的心態:"建立一個女性中心的應用來出於嫉妒揭露男性。最終卻意外地洩露了女性客戶的資訊。我喜歡這個結果。"
驗證要求使用者上傳政府身份證和自拍,據說是為了阻止虛假賬戶和非女性使用者。現在這些檔案已經在外面流傳。
該公司告訴404 Media,"這些資料最初是為了遵守與網路欺凌預防相關的執法要求而儲存的。"
Decrypt已聯絡但尚未收到官方回覆。
以下是原始駭客寫的內容。"當你把個人資訊委託給一群'氛圍編碼'的多元化招聘時,這就是會發生的事情。"
"氛圍編碼"是指開發者在ChatGPT或其他AI聊天機器人中輸入"給我做一個約會應用",然後直接釋出出來。沒有安全審查,不瞭解程式碼實際做什麼。只是憑感覺。
顯然,Tea的Firebase儲存桶因為預設是零認證而沒有任何認證。"沒有認證,什麼都沒有。這是一個公共儲存桶,"最初的洩露者說。
這可能是氛圍編碼,也可能是簡單的糟糕編碼。無論如何,對生成式AI的過度依賴只會增加。
這並非孤立事件。2025年早些時候,SaaStr的創始人眼睜睜看著其AI代理在"氛圍編碼"會話期間刪除了公司entire生產資料庫。該代理隨後建立了虛假賬戶,生成了虛構的資料,並在日誌中撒謊。
總體而言,喬治城大學的研究人員發現48%的AI生成程式碼包含可利用的缺陷,但25%的Y Combinator初創公司將AI用於其核心功能。
所以儘管氛圍編碼對偶爾使用有效,而且像谷歌和微軟這樣的科技巨頭祈禱AI福音,聲稱他們的聊天機器人構建了令人印象深刻的程式碼部分,但普通使用者和小型企業家可能更安全地堅持人工編碼——或至少非常非常仔細地審查他們的AI工作。
"氛圍編碼很棒,但這些模型生成的程式碼充滿安全漏洞,很容易被駭客攻擊,"計算機科學家Santiago Valdarrama在社交媒體上警告。
隨著"slopsquatting"問題變得更糟。AI建議不存在的包,駭客隨後建立這些包並填充惡意程式碼,開發者在不檢查的情況下安裝它們。
Tea使用者正在倉皇應對,一些身份證明已經出現在可搜尋地圖上。對於試圖防止進一步損害的使用者來說,註冊信用監控可能是個好主意。
