La aplicación de cita Tea Dating Advice sufrió una filtración de datos que provocó la divulgación de miles de imágenes personales de sus usuarias, según informó la empresa en un posteo de Instagram el 26 de julio.
“A las 6:44 a. m. PST del 25 de julio, identificamos un acceso no autorizado a nuestros sistemas e inmediatamente iniciamos una investigación completa”, dijo la empresa en un comunicado oficial.
“Un sistema de almacenamiento de datos heredado se vio comprometido, lo que dio lugar a un acceso no autorizado a un conjunto de datos anteriores a febrero de 2024".
Este conjunto de datos incluye aproximadamente 72,000 imágenes, entre las que se encuentran unas 13,000 selfies y fotos de identificación enviadas por los usuarios durante la verificación de la cuenta, y aproximadamente 59,000 imágenes visibles públicamente en la aplicación procedentes de publicaciones, comentarios y mensajes directos”.
Tea pretende “revolucionar la seguridad en las citas” para las mujeres proporcionándoles las herramientas, los conocimientos y una comunidad necesarios, según la empresa, que afirma que la aplicación cuenta con más de 4.64 millones de usuarios.
“Con funciones como la búsqueda inversa de imágenes para detectar perfiles falsos, la búsqueda de números de teléfono para comprobar si hay matrimonios ocultos y la verificación de antecedentes penales, Tea garantiza que las mujeres dispongan de la información que necesitan antes de conocer a alguien nuevo”, afirmó la empresa.
Tea aclaró que no se robaron direcciones de correo electrónico ni números de teléfono en la filtración y afirmó que solo se vieron afectados los usuarios que se registraron en la aplicación antes de febrero de 2024.
Según la política de privacidad de la empresa, cuando los usuarios envían una selfie con fines de verificación, esta "se procesa de forma segura y se almacena solo temporalmente, y se elimina inmediatamente después de completar el proceso de verificación".
En su comunicado, Tea afirmó que las selfies se archivaban para cumplir con los requisitos legales relacionados con la prevención del ciberacoso.
“En este momento, no tenemos pruebas que sugieran que las fotos puedan vincularse a usuarios específicos dentro de la aplicación”, afirmó la empresa.
La filtración de datos se denunció anteriormente en el foro 4chan. Sin embargo, una versión archivada de la publicación de 4chan afirmaba que “Tea App sube todos los envíos de verificación de los usuarios a este almacén público de Firebase”, lo que sugiere que la información estaba disponible públicamente, sin necesidad de autenticación para acceder a ella.
The Epoch Times se puso en contacto con Tea para obtener comentarios, pero no recibió respuesta antes de la publicación de este artículo.
Adivinar la ubicación de los usuarios
La aplicación inicialmente requería selfies e identificaciones durante el registro para garantizar que solo las mujeres se inscribieran en la aplicación, dijo Tea, y añadió que el requisito de identificación se eliminó en 2023.Según Tea, durante las primeras etapas del desarrollo de la aplicación, parte del contenido heredado no se migró al sistema más nuevo y seguro. El hacker pudo acceder a un enlace donde se almacenaban estos datos.
“Hemos contratado a expertos externos en ciberseguridad y estamos trabajando sin descanso para proteger nuestros sistemas. En este momento, hemos implementado medidas de seguridad adicionales y hemos solucionado el problema de los datos. Actualmente estamos trabajando para determinar la naturaleza y el alcance completos de la información involucrada en el incidente”, dijo la empresa.
Tea figura como la segunda aplicación gratuita más popular en iPhone a fecha de 28 de julio, según datos de App Store, y como la aplicación gratuita número uno en la categoría Estilo de vida.
El incidente de hackeo de Tea plantea dudas sobre la seguridad de la información privada en el ámbito de las citas digitales. Un estudio publicado el 12 de agosto en la ACM Digital Library, que analizó 15 aplicaciones de citas basadas en la ubicación, concluyó que estas aplicaciones planteaban "riesgos significativos para la privacidad de los datos".
El estudio descubrió que seis aplicaciones —Grindr, Happn, Badoo, Bumble, Hinge y Hily— eran vulnerables a la "trilateración", un método utilizado para adivinar aproximadamente la ubicación de los usuarios.
Muchas de las aplicaciones analizadas "exponen habitualmente datos personales a otros usuarios", según el estudio.
“Aunque los usuarios pueden sentirse obligados a compartir esos datos, existe un riesgo particular cuando las API filtran datos ocultos en la interfaz de usuario, así como la ubicación exacta de los usuarios, ya que estos no son conscientes de que están compartiendo esos datos, lo que puede dar lugar a daños adicionales”, afirma.
“Además, las políticas de privacidad de las aplicaciones no suelen informar a los usuarios sobre estas amenazas a la privacidad y dejan en sus manos la responsabilidad de proteger los datos personales (sensibles)”.
En 2015 se produjo un importante escándalo relacionado con la violación de datos en una aplicación de citas, cuando unos piratas informáticos afirmaron haber filtrado una enorme base de datos de usuarios de Ashley Madison, un sitio web de citas para personas casadas.
En 2016, la Comisión Federal de Comercio tomó medidas contra Ashley Madison por la violación de datos, que expuso la información de los perfiles de 36 millones de usuarios, según un comunicado del 14 de diciembre de 2016.
Ashley Madison resolvió el caso pagando 1.6 millones de dólares y acordó implementar prácticas sólidas de seguridad de datos.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
