Il 25 luglio 2025, la app Tea Dating Advice (Tea App) è stata oggetto di un grave data breach. Circa 72.000 immagini sono state esposte, incluse 13.000 selfie e documenti d’identità usati per la verifica degli account, più 59.000 foto condivise tramite post, commenti e messaggi diretti.
L’app vanta oltre 4 milioni di utenti negli Stati Uniti, con una diffusione esplosa nelle ultime settimane su TikTok e sull’App Store USA (ha raggiunto il primo posto nella classifica dei download gratuiti). Il breach ha colpito esclusivamente utenti registrati prima di febbraio 2024, non ancora migrati al nuovo sistema.
Lo scopo principale dell’applicazione era quello di offrire un luogo sicuro per le donne, verificate tramite documento di identità, per condividere informazioni sui profili di uomini presenti sulle dating app. Questo secondo il fondatore di tea app Sean Cook avrebbe aiutato a scoprire eventuali catfish (persone che assumo una falsa identità digitale) o persone segretamente sposate.
Si è trattato di “hacking”?
L’accesso ad informazioni sensibili non ha richiesto alcuna violazione del sistema informatico: Le informazioni erano infatti salvate sul cloud, che prevede l’uso di appositi “bucket” per contenere i file. Questi bucket, salvati su Firebase (servizio offerto da Google), erano pubblicamente accessibili, senza crittografia né adeguati controlli di accesso. E’ stato sufficiente creare un programma che tentasse molti URL in sequenza salvando solo quelli validi.
Ad aggravare la situazione, nonostante sul sito fosse specificato che le foto di documenti di identità sarebbero state cancellate immediatamente dopo la verifica, questo in molti casi non è avvenuto e ha portato alla loro diffusione. Nel leak sono stati trovati anche documenti di identità particolarmente sensibili (ad esempio di personale militare) oltre ad indirizzi e messaggi privati.
L’azienda ha dichiarato che i dati fossero conservati per compliance legale in materia di cyberbullismo, ma esperti di sicurezza hanno messo in dubbio questa versione ed evidenziato la negligenza con cui tutte le informazioni sono state gestite.
Fidarsi è bene, non fidarsi è meglio
Come mai una applicazione pensata per la riservatezza dei propri utenti ha adottato pratiche di sicurezza così fallaci? Le risposte possono essere multiple: forse mancanza di personale qualificato, oppure una semplice sottovalutazione dei rischi.
In ogni caso anche adottando le migliori pratiche esiste sempre l’errore umano che può portare a leak di informazioni sensibili, c’è qualche maniera in cui ci possiamo tutelare?
In Dhiria cerchiamo proprio soluzioni encrypted end-to-end che consentano di processare i dati senza mai decrittare: anche in caso di un leak se i dati fossero stati criptati fin dalla ricezione un attaccante non avrebbe avuto modo di farci nulla.
E’ importante quindi realizzare che non sempre le compagnie a cui affidiamo i nostri dati rispettano le promesse, e avere garanzie di sicurezza esterne e verificabili è fondamentale.
Ad esempio grazie alla Homomorphic Encryption si possono creare sistemi di riconoscimento dell’identità che processano unicamente immagini criptate: chi verifica l’identità non ha accesso alle immagini e di conseguenza non può esporre le informazioni sensibili degli utenti.
Vuoi scoprire come difenderti da eventuali leak di informazioni?
In Dhiria esploriamo ogni giorno tecnologie per proteggere la privacy degli utenti. Contattaci su www.dhiria.com o scrivici a info@dhiria.com per una demo personalizzata.
