聲稱保護女性的茶葉應用在史詩級安全故障中洩露了 7.2 萬個身份信息
本週,熱門的女性專用約會安全應用 Tea 遭遇大規模數據洩露,因為 4chan 上的用戶發現其後端數據庫完全不安全——沒有密碼、沒有加密,什麼都沒有。
結果如何? 超過7.2萬張私人圖片——包括用戶提交的自拍照和政府身份證件——在數小時內被抓取並傳播到網上。 其中一些圖片被繪製成地圖並可供搜索。 私人私信也被洩露。 這款旨在保護女性免受危險男性侵害的應用程序剛剛暴露了其全部用戶群。
洩露的數據總計 59.3 GB,包括:
這些文件最初是由 4chan 用戶發布的,但即使原始帖子被刪除後,自動腳本仍在繼續抓取數據。 在 BitTorrent 這樣的去中心化平台上,一旦洩露,就永遠無法恢復。
從病毒式應用到徹底崩潰
Tea 剛剛在 App Store 上排名第一,用戶超過 400 萬,迅速躥紅。 它的宣傳語是:一個專為女性打造的“八卦”平台,方便她們出於安全考慮“八卦”男性——然而,批評人士認為,這是一個披著賦權外衣的“羞辱男性”平台。
一位 Reddit 用戶總結幸災樂禍:“我做了個以女性為中心的應用,讓男性因為嫉妒而去人肉搜索。結果卻意外地把女性客戶也人肉了。我太喜歡了。”
驗證要求用戶上傳政府出具的身份證件和自拍照,據說是為了防止虛假賬戶和非女性用戶。 現在這些證件已經流傳開來。
公司 告訴 404媒體“這些數據最初是為了遵守與預防網絡欺凌相關的執法要求而存儲的。”
解密但尚未收到官方回复。
罪魁禍首:“氛圍編碼”
這位老牌黑客寫道:“當你把個人信息託付給一群DEI僱傭的、專門負責編碼的傢伙時,就會發生這種事。”
“氛圍編碼”就是開發者在 ChatGPT 或其他 AI 聊天機器人裡輸入“幫我做一個約會應用”,然後隨便輸出什麼就行了。 沒有安全審查,也不了解代碼的實際功能。 只是感覺而已。
顯然,Tea 的 Firebase 存儲桶沒有任何身份驗證,因為這是 AI 工具默認生成的。 “沒有身份驗證,什麼都沒有。這是一個公共存儲桶,”最初的洩密者說道。
這可能是一種氛圍編碼,也可能只是糟糕的編碼。 無論如何,對生成式人工智能的過度依賴只會越來越嚴重。
這並非孤立事件。 早在 2025 年,SaaStr 的創始人就曾觀察過其 AI 代理刪除在一次“氛圍編碼”會議期間,該特工竊取了公司整個生產數據庫。 隨後,該特工創建了虛假賬戶,生成了虛假數據,並在日誌中撒謊。
總體而言,喬治城大學的研究人員成立48% 的 AI 生成代碼包含可利用的缺陷,但 25% 的 Y COMbinator 初創公司使用人工智能其核心功能。
因此,儘管氛圍編碼有效的偶爾使用,谷歌和微軟等科技巨頭也祈禱人工智能的福音聲稱他們的聊天機器人構建了令人印象深刻的一部分代碼,普通用戶和小企業家可能更安全地堅持人工編碼 - 或者至少非常嚴格地審查他們的人工智能的工作。
計算機科學家聖地亞哥·瓦爾達拉瑪 (SanTIAgo Valdarrama) 在社交媒體上警告說:“Vibe 編碼很棒,但這些模型生成的代碼充滿了安全漏洞,很容易被黑客入侵。”
問題變得更加嚴重蹲坑”人工智能會建議不存在的軟件包,然後黑客會創建充滿惡意代碼的軟件包,開發人員會在沒有檢查的情況下安裝它們。
茶客們爭先恐後,一些身份證已經出現在可搜索的地圖上。 對於試圖防止進一步損失的用戶來說,註冊信用監控或許是一個好主意。
