Tea Dating Advice, l'app per sole donne che aveva scalato le classifiche degli app store americani, ha visto la sua reputazione crollare a picco dopo essere stata vittima di una violazione dei dati che ha esposto le informazioni sensibili delle sue utenti. Una situazione paradossale, se consideriamo che l'applicazione è pensata per garantire la sicurezza delle donne attraverso la condivisione di informazioni sugli uomini che potrebbero incontrare nelle app di dating e non solo.La violazione dei dati - Parte 1Tutto è cominciato lo scorso venerdì, quando 404Media ha rivelato che alcuni utenti del forum 4chan sostenevano di aver scoperto un database esposto, contenente informazioni personali e selfie delle utenti dell'app Tea, sulla piattaforma di sviluppo di applicazioni mobili di Google, Firebase. Una fuga di dati subito confermata dall'applicazione, che in una nota pubblica ha dichiarato di aver rilevato un “accesso non autorizzato a un set di dati risalenti a prima del febbraio 2024”, comprendente “circa 72.000 immagini, tra cui circa 13.000 selfie e foto identificative inviate dalle utenti durante la verifica dell'account e circa 59.000 immagini visibili pubblicamente nell'app da post, commenti e messaggi diretti”.Nelle ore successive alla notizia, gli attori della minaccia hanno cominciato a rendere disponibili in rete i set di dati dell'app, mettendo seriamente a rischio la sicurezza delle utenti. Di tutta risposta, però, Tea a ha fatto sapere di essere a lavoro per identificare i responsabili dell'accaduto e preservare la privacy delle utenti iscritte. “Stiamo adottando tutte le misure necessarie per rafforzare la nostra posizione di sicurezza e garantire che non vengano esposti altri dati - ha scritto la compagnia nella giornata di venerdì -. Vi ringraziamo per la vostra fiducia e per la vostra pazienza mentre affrontiamo questo problema con l'urgenza che merita”.La violazione dei dati - Parte 2Se la notizia della violazione subita da Tea la scorsa settimana ha causato il crollo dei download dell'applicazione, la rivelazione di un secondo data breach non poteva far altro che darle il colpo di grazia. All'inizio di questa settimana, infatti, 404Media ha fatto sapere che un ricercatore di sicurezza indipendente ha scoperto che i criminali responsabili della violazione sono riusciti ad accedere anche ai messaggi privati delle utenti, in cui queste non solo si scambiavano numeri di telefono, ma parlavano anche di partner traditori e delicate decisioni di aborto. Quello che stupisce, però, è che questo incidente riguarda un database diverso da quello esposto in precedenza. Secondo Kasra Rahjerdi, il ricercatore che per primo ha rilevato il problema, il set di dati in questione comprende ben 1,1 milioni di messaggi, inviati sull'app dall'inizio del 2023 alla scorsa settimana.Ancora una fuga di dati, quindi, che mette a rischio non solo la sicurezza delle utenti, ma anche quella degli uomini nominati nelle conversazioni private, spesso bersaglio di accuse pesanti a livello personale e legale. A preoccupare gli esperti del settore, infatti, è la facilità con cui tutte queste persone possono essere identificate grazie alle informazioni condivise nei messaggi privati, nonostante Tea inviti le utenti a utilizzare la piattaforma in sicurezza, spingendole a scegliere uno pseudonimo per mantenere anonima la propria identità.Per evitare che la fuga di informazioni personali possa verificarsi di nuovo, l'applicazione ha fatto sapere di aver “disattivato completamente” la funzionalità dei messaggi privati. “Stiamo continuando a lavorare rapidamente per contenere l'incidente e abbiamo avviato un'indagine completa con l'assistenza di società esterne di sicurezza informatica - ha dichiarato un portavoce dell'app a 404Media -. Abbiamo anche contattato le forze dell'ordine e le stiamo aiutando nelle loro indagini. Poiché la nostra indagine è nelle fasi iniziali, non abbiamo ulteriori informazioni da poter condividere in questo momento”.Nonostante gli sforzi profusi, però, l'app pensata per essere uno spazio sicuro per le donne ha finito con il diventare uno strumento per metterle in imbarazzo: dopo essere entrati in possesso dei selfie delle utenti, alcuni personaggi non ancora identificati hanno creato un sito in stile Facemash - una piattaforma creata da Mark Zuckerberg nel lontano 2003, che permetteva agli utenti di mettere a confronto le foto di due studenti/studentesse dell'università di Oxford e votare la più attraente -, in cui gli utenti possono votare la donna più attraente tra le due immortalate nei selfie sottratti all'app. Una deriva decisamente triste per un progetto di sicurezza più che ambizioso.