App de segurança para encontros feminino "Tea" é hackeado, e dados de usuárias vazam no 4chan

 (404media.co)
2 pontos por GN⁺ 2025-07-26 | 1 comentários | Compartilhar no WhatsApp
  • O banco de dados do app de segurança para encontros feminino 'Tea' foi exposto, e fotos de rosto e documentos de identidade de milhares de usuárias vazaram no 4chan
  • Esse banco estava publicamente exposto no Google Firebase sem autenticação, e usuários do 4chan fizeram download em massa com scripts automatizados
  • O Tea tem mais de 1,6 milhão de usuárias e exige o envio de selfie e documento de identidade para verificação
  • A 404 Media confirmou, ao descompilar o código do app Tea, que a URL do repositório em questão realmente existia
  • A Tea não respondeu à imprensa nem ao Google, e embora a postagem original tenha sido apagada, arquivos e postagens posteriores continuam confirmando indícios do vazamento

Visão geral do incidente de vazamento de dados do app Tea

Repositório Firebase exposto

  • O banco de dados Google Firebase do app Tea estava publicamente exposto sem autenticação, e qualquer pessoa podia acessá-lo
  • Usuários do 4chan descobriram essa vulnerabilidade e baixaram milhares de dados pessoais e fotos de selfie
  • Os dados foram coletados com scripts automatizados, e os scripts relacionados também foram compartilhados nas postagens

Informações vazadas

  • Foi confirmado que os dados incluíam fotos de rosto de usuárias, cópias digitalizadas de carteiras de motorista, datas de nascimento e informações de localização
  • Em uma thread do 4chan, foi dito que havia imagens explícitas e sem censura, junto com a afirmação de que milhares de arquivos haviam sido coletados
  • A postagem se espalhou com a frase: “Se você enviou seu rosto e sua carteira de motorista para o app Tea, agora foi publicamente doxxada”

Verificação da estrutura do app e processo de autenticação

  • No cadastro, o app Tea exige nome de usuário, localização, data de nascimento, foto do rosto e foto de documento de identidade
  • A 404 Media descompilou a versão Android do app e confirmou que a URL do repositório Firebase estava de fato incluída no código
  • Como parte do processo de verificação, é exigido o envio de uma selfie para determinar se a pessoa é mulher, e o tempo de espera pode chegar a 17 horas

Contexto do crescimento do app Tea

  • Lançado em 2023, o app recentemente entrou no topo da App Store dos EUA, com forte aumento no número de usuárias
  • Assim como grupos do Facebook como ‘Are We Dating the Same Guy?’, o app oferece uma função para mulheres compartilharem anonimamente experiências sobre homens
  • Na página do app, há a frase: “Pergunte à nossa comunidade. Vamos ajudar você a verificar se esse homem é seguro ou se está te traindo”

Resposta insuficiente

  • O app Tea e seu fundador, Sean Cook, não responderam à imprensa nem a mensagens diretas
  • Uma usuária também reportou o problema ao Google, mas não está claro se houve alguma resposta
  • A página vazada do Firebase agora está bloqueada e exibe o erro “Permission denied”

Preocupações com a falha de segurança

  • Apesar de se tratar de um serviço que armazena informações extremamente sensíveis, nem mesmo uma configuração básica de autenticação estava ativada
  • O caso é apontado como um exemplo típico de app que exige dados sensíveis e provoca um vazamento em larga escala por negligência de segurança
  • A marca Tea, que se apresenta como uma comunidade de segurança feminina baseada em confiança, deve sofrer um grande impacto

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-26
Comentários do Hacker News

  • Pode ser visto no link do archive.today

    • É até engraçado chamarem de freewalled um site que exige autenticação do usuário

  • Este app é basicamente quase igual ao Peeple, só que numa versão restrita para cadastro de mulheres. O Peeple fracassou porque era impossível bloquear 100% dos preconceitos e fofocas maldosas. Se alguém, por ciúme, difama outra pessoa e publica isso como se fosse verdade, a vítima pode ser prejudicada no emprego ou nos relacionamentos. Por isso VCs e a internet inteira ridicularizaram a ideia, e no fim ele fechou. Fico me perguntando como o Tea é legalizado; parece difamação com cronômetro, mas dentro da lei

    • Difamação (calúnia ou injúria) só existe quando algo é falso ou pode ser entendido diretamente como fato. Só se aplica quando causa dano real por expor alguém a risco ou quando a lei já presume esse dano. “Esse cara é creepy e trata horrivelmente a namorada” é pura opinião. Para uma opinião virar difamação, ela precisa incluir fatos concretos e falsos, como “acho isso dessa pessoa porque vi tais e tais fatos”. “Tenho a impressão de que essa pessoa gosta de caçar” não é difamação. Pela lei dos EUA, a empresa do app quase nunca responde legalmente por conteúdo difamatório postado por usuários. Seria preciso provar algo específico, como o serviço ter induzido esse tipo de conteúdo, e na prática é difícil uma desenvolvedora de app ultrapassar esse limite
    • Na prática, acho que esse tipo de app é uma ferramenta ideal para pessoas com tendências criminosas ou usuários mal-intencionados seguirem e manipularem outras pessoas. Diz que é “seguro”, mas isso na realidade não tem fundamento
    • Se o Tea é ilegal, então glassdoor, yelp, Google reviews etc. também teriam de ser ilegais. A mesma lógica valeria para verificação de antecedentes em processos de contratação
    • Dizem que o Peeple faliu porque não conseguiu impedir preconceito e fofoca, mas a opinião cínica é: sem preconceito e fofoca, quem usaria um app desses?
    • Acho que o Tea também recebe a proteção legal da Section 230, como outras redes sociais

  • Acho que empresas sem relação direta com serviços financeiros não deveriam poder exigir documentos de identidade emitidos pelo governo. O mesmo vale para o Facebook. No fim, apps assim expõem dezenas de milhares de pessoas ao risco de roubo de identidade. Isso é antiético demais para ser tratado como growth hacking

    • Seria bom se Apple ou Google oferecessem aos desenvolvedores uma API segura de Know Your Customer. Se o app pudesse extrair apenas as informações autorizadas pelo usuário, daria para usar em vários serviços. Não sei se isso já existe, mas pelo menos o Tea aparentemente não usou

  • Acho que agora é a hora de pensar em políticas para responder a violações graves de segurança como esta (o armazenamento de dados do Tea também parece ter ficado totalmente exposto)

    • Na revisão para publicação na App Store, deveria ser obrigatório verificar um checklist de segurança de servidor
    • Deveria existir um kill switch de bloqueio na App Store, para que a publicadora envie um token privado à Apple e, se esse token vazar, o app possa ser removido imediatamente
    • As publicadoras de apps deveriam ser obrigadas a armazenar no backend seus próprios dados pessoais valiosos (por exemplo, acesso à conta bancária principal) junto com os dados do consumidor
      • A empresa deveria ser legalmente obrigada a pagar indenização real em caso de incidente de segurança. A única forma de fazer empresa se importar com segurança é impor prejuízo financeiro. Neste caso, nem foi obra de hackers de altíssimo nível; os dados estavam simplesmente expostos publicamente para todos
      • Do ponto de vista do usuário, honestamente deveria ser puro bom senso não enviar foto do rosto e carteira de motorista para um app de fofoca. Quando eu era mais novo, o básico era não expor o nome real fora de usos profissionais. Não importa o que o sistema diga, a responsabilidade final continua sendo do usuário. O sistema operacional pode proteger muita coisa, mas não pode impedir suas próprias ações
      • Neste caso, o problema foi simplesmente o uso de um bucket público do Firebase, e bloquear o app não resolve isso. Eles até poderiam ter feito o backend intermediar o acesso, mas a Apple não tem como avaliar essa segurança
      • A proposta de obrigar a publicadora a incluir seus próprios dados pessoais no backend é brilhante. Tipo tornar obrigatória uma tabela MY_PERSONAL_INFO em todo banco de dados administrativo
      • Sou contra ampliar os poderes dos revisores de apps. Já rejeitam apps sem motivo suficiente com frequência, e descobrir por que houve rejeição já é penoso demais

  • Fico me perguntando por que as imagens da carteira de motorista dos usuários foram armazenadas por mais tempo do que o mínimo necessário, mesmo depois da verificação

    • Esse tipo de conduta deveria gerar multas enormes. Sem punição de verdade, isso vai continuar acontecendo. Tinha que haver multa de pelo menos 10% da receita e, em casos realmente graves, a responsabilização não só da empresa, mas até do patrimônio pessoal dos sócios para haver proteção real ao consumidor
    • Um app que trata dados pessoais desse jeito é o mesmo app desenhado para permitir o upload de fotos de outras pessoas (com ou sem consentimento) e fofocas sobre elas. É um serviço que claramente não liga para privacidade
    • Não tenho nenhuma prova, mas fico curioso sobre o modelo de receita desse app. Dá vontade de suspeitar que queriam ganhar dinheiro vendendo dados de carteira de motorista e números de telefone
    • Essa é a realidade do vibe coding
    • Segundo outras reportagens, a fila para verificar novas contas passou de 17 horas. É possível que o que usuários do 4chan tenham levado fossem imagens da fila de verificação

  • Se alguém conseguir usar LLMs para criar perfis falsos e automatizar atividade, então a confiabilidade e a utilidade desses dados de usuário serão zero. Carteiras de motorista também podem ser falsificadas, e alguém pode segurar uma CNH real fingindo ser outra pessoa. O próprio serviço do Tea, sua implementação e seu processo têm falhas de projeto e trazem risco jurídico para os desenvolvedores

    • Espero que a lição seja ser um pouco mais cauteloso ao enviar informações sensíveis. Não se deve entregar um documento só porque o app é bonito ou porque nem se sabe direito quem está operando o serviço. Uma vez, trabalhando com um órgão do governo canadense, me pediram documento por e-mail; enviei um link criptografado e recusaram, então tive que ir pessoalmente. É louco como a internet passou, em 10 anos, de “não use seu nome real no YouTube” para “mande seu documento para qualquer app”
    • Se minha carteira de motorista vazar e um stalker aparecer na minha casa, vou mandá-lo embora dizendo que claramente a habilitação dele é falsa
    • Acho que falsificar carteira de motorista ou se cadastrar em nome de outra pessoa é, na prática, bem difícil. Não conheço ninguém que emprestaria a própria habilitação para outra pessoa

  • Estou convencido de que pelo menos uma pessoa de uma startup de TI precisa ter formação técnica. Mesmo terceirizando tudo, alguém precisa saber fazer perguntas sobre segurança. O problema não foi só o banco de dados estar exposto à internet; ele estava literalmente totalmente aberto. Guardar documentos de identidade de pessoas em um banco público é algo realmente chocante

    • Agora existe toda uma atmosfera de que, com ferramentas de vibe coding, não é preciso ser técnico nem nada disso, basta entregar resultado. Influenciadores do LinkedIn e fundadores supostamente só ligam para resultado, não para como foi implantado. Agora que vimos que tratar TI e segurança apenas como custo a ser minimizado não produz o melhor resultado em segurança, parece que vamos jogar tudo para o alto de novo e só nos preocupar com os outros
    • Na prática, existem mais de centenas de milhares de bancos de dados públicos do Firebase sem autenticação expostos por aí. Até empresas da Fortune 500 estão incluídas, e a exposição desprotegida é séria [artigo da bleepingcomputer]
    • Capacidade técnica sozinha não basta. Ter background em segurança é essencial. Algumas das pessoas absolutamente piores com quem lidei em segurança eram justamente pessoas confiantes na própria técnica, mas sem base nenhuma em segurança
    • Médicos, advogados e arquitetos estudam por 5 a 8 anos ou mais e fazem provas. Acho que, daqui a mais algumas décadas, a TI também acabará sendo regulada por lei. Até aqui foi tudo muito livre e divertido, mas como tudo vai depender de TI no futuro, isso vai ficar muito rígido

  • A imprensa usou a expressão “vazamento de dados”, mas na prática era um banco de dados exposto. Nesse tipo de caso, precisa haver um título mais preciso. A manchete deveria enfatizar primeiro a culpa da operação do serviço, não a dos hackers

    • “Vazamento” é uma escolha ruim de palavra. Faz parecer que foi comprometido recentemente, quando na verdade qualquer pessoa podia ver desde o início do app e isso só foi descoberto hoje. Na verdade, é uma situação ainda pior
    • Pela minha experiência, matérias da 404media muitas vezes não têm qualidade suficiente para merecer aparecer no HN

  • Este é um bom exemplo de como o movimento de governos nacionais ou locais para reforçar a verificação de identidade pode acabar produzindo resultados ruins

    • Concordo totalmente

  • “A palavra ‘segurança’ tem peso demais no título, quando na verdade isso é só um app de fofoca”