Plataforma de namoro vaza 72 mil imagens de usuários em breach
São Paulo — InkDesign News — O aplicativo “Tea”, uma nova plataforma social voltada para mulheres, divulgou na sexta-feira, 25 de julho de 2025, uma grave vulnerabilidade de segurança que resultou na exposição de dados de usuários registrados antes de fevereiro de 2024. O incidente, classificado como uma violação de dados, comprometeu aproximadamente 72 mil imagens enviadas por usuárias.
Incidente e vulnerabilidade
De acordo com a empresa, a violação ocorreu às 6h45 PT e impactou um sistema arquivado, sem afetar dados de usuários ativos. As imagens comprometidas incluem cerca de 13 mil selfies e fotografias utilizadas para verificação de identidade, bem como aproximadamente 59 mil imagens acessíveis publicamente em postagens, comentários e mensagens diretas, algumas datadas de mais de dois anos. A vulnerabilidade originou-se devido ao armazenamento público do bucket do Firebase, a plataforma de desenvolvimento de aplicativos móveis da Google, prática conhecida como “vibe coding”.
Impacto e resposta
A violação resultou na exposição de dados que, conforme declarado pela empresa, eram armazenados para cumprimento de normas de prevenção ao cyberbullying. A empresa garantiu que endereços de e-mail ou números de telefone não foram acessados e que as fotos comprometidas não estavam vinculadas a postagens específicas dentro do aplicativo. Contudo, apesar de sua afirmação de que “nenhum dado atual ou adicional foi acessado”, a plataforma ainda apresentava vulnerabilidades. Relatos indicam que, mais de 12 horas após a violação, o Firebase continuava acessível, permitindo que novos dados fossem enviados, um fato que contradiz as alegações de remediação imediata.
Mitigações recomendadas
Em resposta ao incidente, recomenda-se que usuários do aplicativo mudem suas senhas e habilitem autenticação em duas etapas, quando disponível. Os administradores devem implementar patches de segurança, assim como reexaminar políticas de privacidade e tratamento de dados. Desenvolvimento de práticas seguras deve ser uma prioridade, incluindo revisões de segurança que englobem todos os aspectos da infraestrutura. Medidas legais e aconselhamentos profissionais sobre privacidade e segurança podem ser fundamentais para evitar repercussões futuras.
“Estamos trabalhando rapidamente com nossas equipes internas de segurança e especialistas confiáveis para abordar o problema. Acreditamos que nenhum dado adicional foi acessado.”
(“We are working quickly with our internal security teams and trusted experts to address the issue. We believe that no further data has been accessed.”)— Sean Cook, Fundador, Tea
Riscos residuais ainda permanecem, uma vez que dados expostos podem ser disseminados em várias plataformas, exigindo avaliação contínua das medidas de proteção. O próximo passo deve envolver auditorias regulares e um compromisso renovado com a segurança desde a concepção dos aplicativos.
Fonte: (Hack Read – Segurança Cibernética)
