Оказалось, они хранились онлайн в незашифрованном виде и без пароля.

В английском языке есть такое устойчивое выражение «spill the tea» — проболтаться, рассказать слухи. От него и взялось название сервиса Tea Dating Advice, где девушки рассказывают про «ред флаги» и косяки конкретных мужчин. 

Tea существует уже больше года, но этим летом с двух ног влетел в топ американского App Store и уже неделю держится на первом месте среди всех приложений — похоже, сработал эффект критической массы пользователей.

Идея делиться анонимной инфой не нова: когда-то на ней резко взлетали сервисы типа Secret, а после недавнего расследования о Михаиле Плетневе в Telegram резко взлетел паблик «прошмандовцы русской эмиграции», за два месяца набравший 76К — его авторы и не скрывают, что публикуют просто непроверенные сплетни, но по крайней мере и ничего не зарабатывают.

В Tea есть платные подписки, дающие всякие премиальные функции: например, можно установить уведомления на своего мужика, чтобы узнать, если кто-то другой тоже начнёт с ним встречаться, пока вы в отношениях. По данным Sensor Tower, на iOS приложение скачали за месяц более 400 тысяч раз, а заработало оно более 200 тысяч долларов. 

Но циркулирующих оттуда скриншотов нет: в Tea их делать запрещено. Знающие пользователи говорят, что ничего особо интересного в публикующемся там контенте нет: «Избегайте этого», «Этот нарцисс», «Этот абьюзер». По «прошмандовцам» можно вполне сложить представление, о чём там говорят.

25 июля на 4chan кто-то написал, что данные пользовательниц хранились в незашифрованном виде в Firebase: он смог без пароля, просто по ссылке достать оттуда их селфи и водительские удостоверения, которые раньше требовалось отправлять для подтверждения аккаунта. Все 59 ГБ данных он скачал и выложил в интернет, пока не удалили. 

Так выглядел скрипт, которым и получили доступ: просто перебор файлов в директории, доступ к которой остался публичным — без авторизации, просто по URL. Налицо bucket misconfiguration — неправильная конфигурация облачного хранилища, где разрешён публичный доступ к данным.

Напомню, что приложение позиционируется как анонимное.

Спустя некоторое время создательницы выкатили объяснительную: якобы Firebase — это устаревшая система хранения данных их пользовательниц, использовавшаяся до февраля 2024 года, а данные остальных не пострадали. По их информации, речь идёт об утечке 72 тысяч изображений, включая 13 тысяч селфи пользовательниц. 

Деталь из FAQ убила:

Я думал, что селфи были удалены?

Эти данные изначально были архивированы в соответствии с требованиями правоохранительных органов по предотвращению кибербуллинга. Фотографии не могут быть связаны с конкретными пользователями внутри приложения.