Một vụ rò rỉ dữ liệu nghiêm trọng vừa làm chấn động cộng đồng mạng toàn cầu khi ứng dụng hẹn hò Tea - được quảng cáo là nền tảng an toàn dành riêng cho phụ nữ - đã để lộ 72.000 hình ảnh riêng tư của người dùng, bao gồm cả ảnh selfie và giấy tờ tùy thân như hộ chiếu, bằng lái xe. Điều gây sốc nhất không phải là việc bị tấn công mà chính là cách thức lưu trữ dữ liệu cực kỳ thiếu an toàn của ứng dụng này.
Tea, được thành lập vào năm 2023 với sứ mệnh cho phép phụ nữ chia sẻ thông tin về những người đàn ông trong khu vực của họ vì mục đích an toàn, đã nhanh chóng trở thành hiện tượng. Ứng dụng vừa lên đầu bảng xếp hạng App Store trong tuần này và tuyên bố có hơn 4 triệu người dùng trên toàn thế giới. Tuy nhiên, sự nổi tiếng này đã nhanh chóng biến thành ác mộng khi hệ thống bảo mật tệ hại của họ bị lộ tẩy.
Ứng dụng Tea hướng tới việc bảo vệ an toàn cho phụ nữ khi hẹn hò
Theo báo cáo từ 404 Media, những người dùng trên diễn đàn ẩn danh khét tiếng 4chan đã đăng những liên kết đến cơ sở dữ liệu đám mây bị lộ được lưu trữ trên Firebase, nền tảng phát triển ứng dụng di động của Google. Điều đáng lo ngại là những kẻ tấn công sau đó đã tìm kiếm thông qua dữ liệu bất hợp pháp này, đăng tải ảnh selfie và danh tính của người dùng. Trong một ảnh chụp màn hình được 404 Media ghi lại, một người dùng tuyên bố đã tải xuống hơn 3.000 hình ảnh.
Trong tuyên bố chính thức, Tea xác nhận rằng khoảng 72.000 hình ảnh đã bị lộ. Con số này bao gồm 13.000 ảnh selfie và giấy tờ tùy thân được gửi để xác minh tài khoản, cũng như 59.000 hình ảnh từ bài đăng, bình luận và tin nhắn trực tiếp của người dùng. Ứng dụng làm rõ rằng dữ liệu bị ảnh hưởng là từ hai năm trước, vì vậy những người đăng ký gần đây có thể không bị tác động. May mắn thay, không có số điện thoại hay địa chỉ email nào bị rò rỉ.
Điều khiến cộng đồng công nghệ thông tin phẫn nộ nhất chính là cách thức "tấn công" đơn giản đến mức gây cười. Những người dùng trên 4chan được cho là đã nói rằng dữ liệu người dùng được lưu trữ trong cái gọi là "public bucket" - một container lưu trữ mà nội dung có thể truy cập mà không cần xác thực hoặc ủy quyền. 404 Media khẳng định rằng bucket được liên kết bởi người dùng 4chan chính là bucket lưu trữ mà họ phát hiện trong mã nguồn của ứng dụng.
Hình ảnh cho thấy database của ứng dụng này được lưu trữ công khai trên một đường link Firebase Storage, và không được bảo vệ bằng cơ chế xác thực.
Nhiều chuyên gia công nghệ đã bày tỏ sự bất bình trước tình trạng bảo mật tệ hại này. Họ cho rằng gọi vụ việc này là "hack" thực sự là quá sức, vì Tea đã đặt mọi thứ trong một cơ sở dữ liệu có thể truy cập công khai. Điều này không có nghĩa là họ không mã hóa, mà theo nghĩa URL thực sự có thể truy cập công khai. "Vụ hack" chỉ đơn giản là việc tải xuống các tệp hình ảnh từ một URL có thể truy cập công khai, giống như việc tải file từ Google Drive được chia sẻ công khai.
Rachel Tobac, CEO và đồng sáng lập của SocialProof Security, đã chia sẻ với CNN rằng mặc dù một bức ảnh selfie "tự nó có vẻ vô hại," nhưng nó có thể được sử dụng để hack tài khoản ngân hàng và các chương trình khác khi kết hợp với giấy tờ tùy thân do chính phủ cấp. Bà khuyến nghị rằng người dùng Tea nên cân nhắc đóng băng thẻ tín dụng, sử dụng các công cụ loại bỏ trang web môi giới dữ liệu, đặt tài khoản mạng xã hội ở chế độ riêng tư, sử dụng trình quản lý mật khẩu và xác thực đa yếu tố.
Albert Fox Cahn, người sáng lập và giám đốc điều hành của Dự án Giám sát Công nghệ Giám sát, đã có quan điểm mạnh mẽ hơn. Ông cho rằng "tất cả chúng ta đều biết hẹn hò trực tuyến có thể độc hại, nhưng giải pháp không phải là giám sát nhiều hơn." Ông khuyến nghị người tiêu dùng nên suy nghĩ kỹ trước khi chia sẻ dữ liệu với các công ty vì "từ chối thực sự là biện pháp bảo vệ tốt nhất mà chúng ta có."
Có người còn cho rằng, việc bảo mật tệ hại như vậy cho thấy đây có thể là một ứng dụng được tạo ra từ vibe-code (được lập trình hoàn toàn bằng AI) nên mới phạm phải sai lầm sơ đẳng như vậy.
Richard Blech, CEO và đồng sáng lập của công ty bảo mật AI XSOC Corp, cảnh báo rằng ảnh selfie và hình ảnh có thể là "mỏ vàng dữ liệu" cho các cuộc tấn công dữ liệu được thúc đẩy bởi trí tuệ nhân tạo. Dữ liệu đó có thể được sử dụng để huấn luyện giả mạo nhận dạng khuôn mặt, vượt qua sinh trắc học và tạo deepfake. Ông nhấn mạnh rằng bất kỳ ai có hình ảnh bị truy cập nên cẩn thận hơn với báo cáo tín dụng của họ vì dữ liệu sinh trắc học "sẽ không hết hạn."
Đặc biệt nghiêm trọng là việc Tea được thiết kế với mục đích bảo vệ an toàn cho phụ nữ trong hẹn hò, nhưng lại khiến họ trở nên dễ bị tổn thương hơn. Ứng dụng yêu cầu người dùng nộp ảnh selfie để "xác minh rằng bạn là phụ nữ" và tuyên bố rằng những bức ảnh này sẽ được xóa sau khi tài khoản được phê duyệt. Tuy nhiên, thực tế cho thấy dữ liệu này vẫn được lưu trữ trong hệ thống không an toàn trong suốt hai năm.
Diễn đàn 4chan, nơi dữ liệu bị rò rỉ, có lịch sử dài trong việc tham gia vào các vụ rò rỉ thông tin cá nhân cao cấp. Từ năm 2014, trang web này đã lưu trữ hình ảnh của nhiều người nổi tiếng Hollywood do lỗi bảo mật lớn trong iCloud của Apple. Chính trang web này cũng đã bị hack nghiêm trọng đầu năm nay, phải offline trong hai tuần do một cuộc tấn công mạng "thảm khốc" đã lộ mã nguồn của nó.
Công ty đã phản hồi bằng cách tuyên bố: "Chúng tôi đã huy động các chuyên gia an ninh mạng bên thứ ba và đang làm việc suốt ngày đêm để bảo mật hệ thống của mình. Hiện tại, chúng tôi đã thực hiện các biện pháp bảo mật bổ sung và đã khắc phục vấn đề dữ liệu." Tuy nhiên, thiệt hại đã quá lớn và không thể khắc phục được khi hàng chục nghìn hình ảnh riêng tư đã lan truyền trên internet.
Vụ việc này không chỉ là một thảm họa về mặt kỹ thuật mà còn là một bài học đắt giá về việc tại sao các công ty công nghệ cần đầu tư nghiêm túc vào bảo mật từ những ngày đầu phát triển sản phẩm. Khi một ứng dụng được thiết kế để bảo vệ phụ nữ lại trở thành nguồn nguy hiểm lớn nhất đối với họ, điều này đặt ra câu hỏi nghiêm túc về trách nhiệm của các nhà phát triển trong việc bảo vệ dữ liệu người dùng.
(Tổng hợp)
