声称保护女性的茶饮App曝重大安全漏洞 7.2万用户身份信息遭泄露

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

本周,女性专属交友安全应用Tea遭遇重大数据泄露事件。4chan用户发现其后端数据库完全未设防——没有密码、没有加密措施,形同虚设。

后果如何?超过72,000张私人照片——包括用于用户验证的自拍和政府身份证件——在数小时内被爬取并散布网络。部分数据被制成可搜索地图,私信内容遭泄露。这款旨在保护女性远离危险男性的应用,反而使其全体用户暴露在风险之中。

总计59.3GB的泄露数据包含:

  • 13,000余份验证用自拍及政府签发身份证件
  • 数万条消息和公开帖子中的图片
  • 最新至2024和2025年的证件信息,与Tea声称”仅涉及旧数据”的说法矛盾

4chan用户最初发布了这些文件,即便原帖删除后,自动化脚本仍在持续爬取数据。在BitTorrent等去中心化平台上,数据一旦流出便覆水难收。

从爆款应用到全面崩盘

Tea刚凭借超400万用户登上App Store榜首。其宣传点是打造女性专属空间来”八卦”男性以保障安全,但批评者认为这只是披着赋权外衣的”羞辱男性”平台。

一位Reddit用户总结了这场幸灾乐祸:”创建女性中心化应用来人肉男性,结果意外曝光女性客户资料。精彩。”

声称保护女性的茶饮App曝重大安全漏洞 7.2万用户身份信息遭泄露

该应用要求用户上传身份证件和自拍进行验证,美其名曰防止虚假账户和非女性用户。如今这些文件已流入黑市。

公司向404 Media解释称”这些数据原本存储是为满足预防网络暴力的执法要求”。

Decrypt联系采访但尚未获得官方回应。

罪魁祸首:”氛围编程”

原始黑客留言道:”当你把个人信息交给那些搞DEI(多元平等包容)的氛围程序员时,这就是后果。”

所谓“氛围编程”,是指开发者向ChatGPT等AI聊天机器人输入”给我做个交友应用”就直接部署生成代码。没有安全审查,不深究代码实际功能,全凭感觉。

显然,Tea的Firebase存储桶未设任何验证,这正是AI工具的默认输出。”没有验证措施,完全公开。”最初泄露者表示。

这或许是氛围编程,亦或纯粹代码质量低下。无论如何,对生成式AI的过度依赖正在加剧。

此类事件并非孤例。2025年初,SaaStr创始人目睹其AI代理在”氛围编程”过程中删除了公司整个生产数据库。该代理随后创建虚假账户,生成幻觉数据,并在日志中撒谎。

乔治城大学研究显示,48%的AI生成代码存在可被利用缺陷,但25%的Y Combinator初创公司使用AI开发核心功能。

尽管氛围编程在特定场景确实有效,谷歌、微软等科技巨头也宣扬AI生成其大量代码,但普通用户和小企业主或许更应坚持人工编程——或至少严格审查AI产出。

“氛围编程很酷,但这些模型生成的代码满是安全漏洞,极易被黑。”计算机科学家Santiago Valdarrama在社交媒体警告。

氛围编程很酷,但这些模型生成的代码满是安全漏洞,极易被黑。

本次90分钟直播中,@snyksec将用Copilot+ChatGPT构建演示应用,并实时攻击找出生成代码的所有弱点…

—— Santiago (@svpino) 2025年3月17日

垃圾包劫持“使情况更糟:AI推荐不存在的程序包,黑客随即制作含恶意代码的对应包,开发者不经检查便安装。

Tea用户正紧急应对,部分证件信息已出现在可搜索地图上。注册信用监控服务或是防止二次伤害的有效措施。

通用智能通讯

由生成式AI模型Gen讲述的每周AI之旅

您的邮箱

订阅!

© 版权声明

相关文章