Tea 데이트 앱이 사용자 데이터 침해로 심각한 보안 위협을 겪고 있습니다. 4chan에 노출된 데이터는 Firebase에 호스팅된 데이터베이스에서 유출되었습니다. Tea는 보안 침해를 인정하고 전문가를 고용해 시스템 보호에 나섰습니다. 노출된 데이터는 셀피와 사진 ID 등 72,000장을 포함하며, 사용자 개인정보 보호를 강조하고 있습니다.
여성들이 안전한 데이트를 보장받고, 상대방이 가짜나 이미 관계 중인 사람이 아님을 확인할 수 있도록 돕는다고 주장하는 앱 ‘Tea’가 보안 침해를 겪고 있습니다. 404미디어에 따르면, 4chan에 게시된 데이터베이스가 누구나 사용자 데이터를 접근할 수 있게 하였던 것으로 나타났습니다. 해당 데이터베이스는 이후 삭제되었습니다. 데이터셋에는 운전면허증을 포함한 수천 장의 이미지가 포함되어 있었습니다.
4chan 사용자들은 이 데이터가 Google’s 앱 개발 플랫폼인 Firebase에 호스팅된 노출된 데이터베이스에서 유래되었다고 주장했습니다. 404미디어는 Tea의 안드로이드 앱에서 발견된 URL이 노출된 저장소 버킷 URL과 일치한다는 것을 확인했습니다.
회사 측은 보안 침해 사실을 인정하였습니다. Tea는 404미디어에 보낸 성명에서 “시스템 중 하나에 대한 무단 접근을 확인하였으며, 즉시 전체 조사를 시작하여 범위와 영향을 평가하고 있다”고 밝혔습니다. 노출된 정보는 2년 이상 전의 데이터로, 셀피, 사진 ID, 앱 게시물 및 DM의 사진을 포함한 72,000장의 이미지를 포함하고 있습니다.
“이 데이터는 원래 사이버 괴롭힘 방지와 관련된 법집행 요구사항을 준수하여 저장되었습니다,”라고 Tea는 설명했습니다. “당사는 제3자 사이버 보안 전문가를 고용하여 시스템 보호 작업을 24시간 진행하고 있습니다. 현재 추가 사용자 데이터가 영향을 받았다는 증거는 없습니다. 사용자 개인정보와 데이터 보호가 우리의 최우선 과제입니다. 플랫폼의 보안을 확실히 하고 추가 노출을 방지하기 위해 모든 필요한 조치를 취하고 있습니다.”
이 앱은 사용자가 ‘경고 신호’인 남성들의 사진을 게시할 수 있도록 합니다. “이미 Tinder, Bumble, Match 또는 Hinge에서 데이트를 위해 스와이프 중인가요?” 라는 문구로 Play 스토어에 소개되어 있으며, “Tea는 데이트 조언을 제공하고 데이트 상대의 프로필 뒤에 숨은 것을 보여줌으로써 여성들이 첫 데이트 전 경고 신호를 피할 수 있도록 도와주는 필수 앱입니다”라고 홍보하고 있습니다.
Play 스토어 목록에는 반대 전화번호 조회 기능이 강조되어 있습니다. 여기에는 남성의 실명, 나이, 주소, 소셜 프로필 및 관계 상태에 대한 섹션이 있습니다. 또한, 반대 이미지 검색과 배경 확인 기능이 포함되어, 여성이 상대방에 대한 정보를 알 수 있도록 합니다. 사용자는 새로운 매치와 데이트를 해야 할지에 대해 다른 사용자에게 설문을 요청할 수 있습니다.
이 앱은 신규 사용자가 신분증을 통한 셀피 인증과 정부 발급 신분증 사진을 제출하도록 요구합니다. Tea는 404미디어에 이 절차가 신규 가입자가 여성인지 확인하기 위한 것이라고 밝혔습니다.
이 보안 침해는 앱의 인기 급상승 시기에 발생했습니다. Business Insider에 따르면 이번 주에 Apple의 App Store에서 상위에 올랐다고 합니다. 이 앱은 2023년에 처음 출시되었습니다.
※출처: Engadget
