L’app Tea si era presentata come uno spazio esclusivo e sicuro per le donne, dove condividere liberamente esperienze personali, anche spiacevoli, legate al mondo del dating. Un’idea pensata per offrire supporto e confronto, ispirata all’espressione “spill the tea”, ovvero raccontare verità scomode. Ma quel senso di protezione è stato gravemente violato.
Nei giorni scorsi, infatti, è emerso un grave data breach che ha coinvolto migliaia di dati sensibili, tra cui immagini di documenti e selfie caricati per la verifica degli account. A rivelarlo è stato il sito statunitense 404 Media, che ha condotto un’inchiesta approfondita sulla vicenda.
Le falle di sicurezza e la leggerezza degli sviluppatori
Secondo quanto riportato, le immagini e i file degli utenti erano conservati su Firebase, il sistema cloud di Google, senza alcuna protezione: né password, né autenticazione. Bastava conoscere il link per accedere al contenuto.
Proprio così è avvenuto l’accesso da parte di alcuni troll provenienti da 4chan, che con un’operazione di reverse engineering sono riusciti a trovare la directory dove erano archiviati oltre 72.000 file, compresi 13.000 documenti identificativi e 59.000 immagini provenienti da messaggi e post pubblici. Una scoperta che mette in dubbio le dichiarazioni precedenti dell’app, secondo cui i dati di verifica sarebbero stati eliminati dopo l’approvazione dell’account.
Le dichiarazioni ufficiali e le preoccupazioni sulla privacy
Tea ha confermato l’accaduto a Gizmodo, parlando di “un sistema obsoleto” e minimizzando l’impatto, sostenendo che le informazioni coinvolte risalgono ad almeno due anni fa. La società ha anche affermato di aver aggiornato i propri standard di sicurezza.
Ma questo non basta a placare i dubbi. Il fatto che file tanto sensibili siano rimasti accessibili online così a lungo, senza protezione, solleva forti preoccupazioni sul rispetto della privacy e sulla reale tutela offerta a chi si era affidata alla piattaforma.
Il link originariamente diffuso su 4chan ora non è più accessibile, ma la violazione resta un campanello d’allarme. In un’epoca in cui si promuove la sicurezza digitale, un caso del genere rappresenta una grave mancanza di responsabilità, soprattutto quando a farne le spese sono utenti già vulnerabili.
