近日,一款号称保护女性安全的热门约会应用 Tea 遭遇了一场灾难性的数据泄露事件。一名 4chan 用户发现,其后端数据库完全没有设置任何安全措施——无密码、无加密,完全暴露在公众视野中。
这一严重漏洞导致超过 7.2 万名用户的私人数据被窃取,其中包括用户上传的自拍照和政府签发的身份证件照片。这些数据在短短数小时内被迅速抓取并传播至网络,部分图片甚至被绘制成地图供人搜索。此外,用户的私人聊天记录也被泄露。这款声称保护女性免受危险男性侵害的应用程序,最终却让其用户群体陷入了隐私危机。
据分析,泄露的数据总量高达 59.3 GB,内容包括:
- 13,000 多张验证用自拍照及政府签发的身份证件照片;
- 来自用户消息和公开帖子的数万张图片;
- 部分身份证件显示日期为 2024 年和 2025 年,与 Tea 声称泄漏仅涉及“旧数据”的说法相矛盾。
这些文件最初由 4chan 用户发布,尽管原始帖子很快被删除,但自动脚本仍在持续抓取数据。由于 BitTorrent 等去中心化平台的存在,一旦数据泄露,几乎无法彻底清除。
从爆红到崩溃:Tea 的短暂巅峰
Tea 曾一度在 App Store 排名第一,用户数量突破 400 万,以其“专为女性打造的安全八卦平台”迅速走红。然而,批评者认为,该应用实际上是一个披着赋权外衣的“羞辱男性”工具。
一位 Reddit 用户调侃道:“我做了一个以女性为中心的应用,想让男性因嫉妒而进行人肉搜索,结果却意外把女性客户也给‘人肉’了。真是太讽刺了。”
为了防止虚假账户和非女性用户注册,Tea 要求用户上传政府签发的身份证件和自拍照。如今,这些敏感信息已全部泄露。
公司方面向 404媒体 透露,“这些数据最初是为了遵守与预防网络欺凌相关的执法要求而存储的。” 但目前尚未收到官方进一步回应。
罪魁祸首:氛围编码引发的安全隐患
一位资深黑客评论道:“当你将个人信息交给一群靠 DEI 招聘、只会随便写代码的人时,这种事情就会发生。”
所谓的“氛围编码”,指的是开发者通过 ChatGPT 或其他 AI 工具输入需求,比如“帮我做一个约会应用”,然后直接复制粘贴生成的代码,既不做安全审查,也不了解代码的实际功能。
显然,Tea 的 Firebase 存储桶未设置任何身份验证机制,这正是 AI 工具默认生成的结果。“没有身份验证,什么都没有。这是一个公共存储桶,”最初的泄密者指出。
类似问题并非孤例。乔治城大学的研究表明,48% 的 AI 生成代码包含可利用的漏洞,而 25% 的 Y Combinator 初创公司依赖 AI 构建其核心功能。
计算机科学家圣地亚哥·瓦尔达拉玛 (Santiago Valdarrama) 在社交媒体上警告称:“虽然氛围编码看似高效,但这些模型生成的代码充满了安全漏洞,极易被黑客攻击。”
更令人担忧的是,AI 有时会推荐不存在的软件包,黑客随后创建包含恶意代码的同名软件包,开发者可能在不知情的情况下安装这些“陷阱”。
目前,已有部分身份证信息出现在可搜索的地图上。对于试图减少损失的用户来说,注册信用监控服务或许是一个明智的选择。
