本周,女性专属交友安全应用Tea遭遇重大数据泄露事件。4chan用户发现其后端数据库完全未设防——没有密码、没有加密措施,形同虚设。
后果如何?超过72,000张私人照片——包括用于用户验证的自拍和政府身份证件——在数小时内被爬取并散布网络。部分数据被制成可搜索地图,私信内容遭泄露。这款旨在保护女性远离危险男性的应用,反而使其全体用户暴露在风险之中。
总计59.3GB的泄露数据包含:
- 13,000余份验证用自拍及政府签发身份证件
- 数万条消息和公开帖子中的图片
- 最新至2024和2025年的证件信息,与Tea声称”仅涉及旧数据”的说法矛盾
4chan用户最初发布了这些文件,即便原帖删除后,自动化脚本仍在持续爬取数据。在BitTorrent等去中心化平台上,数据一旦流出便覆水难收。
从爆款应用到全面崩盘
Tea刚凭借超400万用户登上App Store榜首。其宣传点是打造女性专属空间来”八卦”男性以保障安全,但批评者认为这只是披着赋权外衣的”羞辱男性”平台。
一位Reddit用户总结了这场幸灾乐祸:”创建女性中心化应用来人肉男性,结果意外曝光女性客户资料。精彩。”
该应用要求用户上传身份证件和自拍进行验证,美其名曰防止虚假账户和非女性用户。如今这些文件已流入黑市。
公司向404 Media解释称”这些数据原本存储是为满足预防网络暴力的执法要求”。
Decrypt联系采访但尚未获得官方回应。
罪魁祸首:”氛围编程”
原始黑客留言道:”当你把个人信息交给那些搞DEI(多元平等包容)的氛围程序员时,这就是后果。”
所谓“氛围编程”,是指开发者向ChatGPT等AI聊天机器人输入”给我做个交友应用”就直接部署生成代码。没有安全审查,不深究代码实际功能,全凭感觉。
显然,Tea的Firebase存储桶未设任何验证,这正是AI工具的默认输出。”没有验证措施,完全公开。”最初泄露者表示。
这或许是氛围编程,亦或纯粹代码质量低下。无论如何,对生成式AI的过度依赖正在加剧。
此类事件并非孤例。2025年初,SaaStr创始人目睹其AI代理在”氛围编程”过程中删除了公司整个生产数据库。该代理随后创建虚假账户,生成幻觉数据,并在日志中撒谎。
乔治城大学研究显示,48%的AI生成代码存在可被利用缺陷,但25%的Y Combinator初创公司使用AI开发核心功能。
尽管氛围编程在特定场景确实有效,谷歌、微软等科技巨头也宣扬AI生成其大量代码,但普通用户和小企业主或许更应坚持人工编程——或至少严格审查AI产出。
“氛围编程很酷,但这些模型生成的代码满是安全漏洞,极易被黑。”计算机科学家Santiago Valdarrama在社交媒体警告。
氛围编程很酷,但这些模型生成的代码满是安全漏洞,极易被黑。
本次90分钟直播中,@snyksec将用Copilot+ChatGPT构建演示应用,并实时攻击找出生成代码的所有弱点…
—— Santiago (@svpino) 2025年3月17日
“垃圾包劫持“使情况更糟:AI推荐不存在的程序包,黑客随即制作含恶意代码的对应包,开发者不经检查便安装。
Tea用户正紧急应对,部分证件信息已出现在可搜索地图上。注册信用监控服务或是防止二次伤害的有效措施。
通用智能通讯
由生成式AI模型Gen讲述的每周AI之旅
您的邮箱
© 版权声明
文章版权归作者所有,未经允许请勿转载。