차 애호가를 위한 데이팅 앱이 큰 사고로 72,000명의 사용자 사진과 아이디를 유출

여성 대상의 데이팅 안전 앱인 Tea가 심각한 데이터 유출 사건에 휩싸였습니다. 이 앱은 최근 앱스토어에서 가장 인기있는 앱이었습니다.

4chan의 해커들이 Tea의 노출된 데이터베이스에 접근하고, 이후에 온라인 사용자들의 셀카와 ID 사진을 공유하기 시작했다는 것이 404Media에서 처음 보도되었습니다.

해당 사건은 Tea가 사용하던 보안이 허술한 Google Firebase 데이터베이스 때문에 가능했습니다. “그렇습니다, 만약 당신이 Tea 앱에게 얼굴 사진과 운전 면허증을 보냈다면, 그들이 공개적으로 당신의 정보를 노출시켰을 것입니다! 인증도 없고, 아무것도 없습니다. 이것은 공개된 버킷입니다.”라고 4chan 게시물에 적혀있었습니다. 이 게시물은 404Media가 보도했습니다.

이어서, “운전 면허증과 얼굴 사진! 빨리 여기로 오세요, 그들이 이것을 닫기 전에!” 라고 덧붙였습니다.

Tea는 404 미디어에게 이 사건을 확인하고, 이는 2년 이상 전의 오래된 데이터를 영향을 받았음을 밝혔다. 이에는 72,000장의 이미지, 13,000장의 셀카와 사진 ID, 그리고 게시물과 메시지에서 나온 59,000장의 기타 이미지가 포함되어 있다.

“이 데이터는 원래 사이버 불링 방지와 관련된 법 집행 요구 사항에 따라 저장되었습니다.”라고 회사는 설명했다.

유출된 데이터에는 직접 메시지도 포함되어 있습니다. 404 미디어는 안드로이드 앱을 디컴파일하여 4chan에 공유된 동일한 저장소 URL을 찾아 노출을 확인하였습니다.

“버킷에 있는 이미지들은 가공되지 않고 무보정입니다,”라고 한 사용자가 작성하였습니다. 4chan의 다른 사용자들은 심지어 유출된 데이터를 자동으로 수집하는 스크립트를 만들었습니다.

Tea의 검증 과정은 사용자가 플랫폼에 가입하기 전에 셀피와 ID 사진을 모두 업로드하여 여성 신원을 확인하는 것을 요구합니다. 이 플랫폼은 여성들이 “우리가 같은 남자와 연애하고 있나요?”라는 페이스북 그룹과 같은 방식으로 기능하는 시스템을 통해 남성에 대한 익명의 경고를 공유할 수 있게 해줍니다.

위반 사항을 발견한 후, Tea는 사이버 보안 전문가들과 협력하고 있으며, 404Media에 보낸 이메일에서 “사용자들의 개인 정보와 데이터를 보호하는 것이 우리의 최우선 과제입니다.”라고 말했습니다.

404Media는 원본 4chan 스레드가 이미 삭제되었지만, 보관된 버전들이 계속 유통되고 있다고 지적했습니다.