Hackean la app de citas seguras para mujeres "Tea" y filtran datos de usuarias en 4chan

 (404media.co)
2 puntos por GN⁺ 2025-07-26 | 1 comentarios | Compartir por WhatsApp
  • La base de datos de la app de citas seguras para mujeres "Tea" quedó expuesta y miles de fotos de rostros de usuarias e información de sus identificaciones se filtraron en 4chan
  • Esa base de datos estaba publicada en Google Firebase sin autenticación, y usuarios de 4chan la descargaron masivamente con scripts automatizados
  • Tea tiene más de 1.6 millones de usuarias y exige subir una selfie y una identificación para verificar a las personas usuarias
  • 404 Media confirmó que la URL del repositorio en cuestión realmente existía al decompilar el código de la app de Tea
  • Tea no respondió a consultas de la prensa ni de Google; la publicación original fue borrada, pero los archivos y publicaciones posteriores siguen mostrando indicios de la filtración

Resumen del incidente de filtración de datos de la app Tea

Repositorio de Firebase expuesto

  • La base de datos de Google Firebase de Tea estaba pública sin autenticación y cualquiera podía acceder
  • Usuarios de 4chan descubrieron esta vulnerabilidad y descargaron miles de datos personales y selfies
  • Los datos fueron recolectados con scripts automatizados, y esos scripts también se compartieron en las publicaciones

Información filtrada

  • Se confirmó que incluía fotos de rostro de usuarias, escaneos de licencias de conducir, fecha de nacimiento, información de ubicación y más
  • En el hilo de 4chan se decía que eran imágenes explícitas y sin censura, junto con menciones de que se habían recolectado miles de archivos
  • La publicación se difundió con la frase: “Si subiste tu cara y tu licencia de conducir a la app Tea, ahora te doxxearon públicamente”

Confirmación de la estructura de la app y proceso de verificación

  • La app Tea pide al registrarse nombre de usuario, ubicación, fecha de nacimiento, foto del rostro y foto de una identificación
  • 404 Media decompiló la versión Android de la app y confirmó que la URL del repositorio de Firebase efectivamente estaba incluida en el código
  • Como parte del proceso de verificación, se exige subir una selfie para determinar si la persona es mujer, y la espera puede llegar hasta 17 horas

Contexto del crecimiento de la app Tea

  • Tras su lanzamiento en 2023, recientemente subió a los primeros puestos del App Store en Estados Unidos, impulsando un fuerte crecimiento de usuarias
  • La app ofrece una función similar a grupos de Facebook como "Are We Dating the Same Guy?", donde mujeres comparten de forma anónima experiencias sobre hombres
  • En la página de la app aparece la frase: “Pregúntale a nuestra comunidad. Te ayudamos a verificar si ese hombre es seguro o si te está siendo infiel”

Respuesta deficiente

  • La app Tea y su fundador, Sean Cook, no respondieron a la prensa ni a mensajes directos
  • Un usuario también reportó el problema a Google, pero no está claro si hubo alguna respuesta
  • La página filtrada de Firebase ahora tiene el acceso bloqueado y muestra el error “Permission denied”

Preocupación por la falla de seguridad

  • Aunque el servicio almacena información extremadamente sensible de las usuarias, ni siquiera tenía configurada una autenticación básica
  • Se señala como un caso típico en el que una app que exige información sensible provoca una filtración masiva por negligencia de seguridad
  • Todo indica que la marca Tea, que se presentaba como una comunidad segura y de confianza solo para mujeres, sufrirá un fuerte golpe

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-26
Opiniones de Hacker News

  • Se puede ver en el enlace de archive.today

    • Es curioso que le digan freewalled a un sitio que requiere verificación de usuario

  • Esta app básicamente tiene una estructura casi idéntica a Peeple, solo que restringida para que solo se registren mujeres. Peeple fracasó porque no pudo bloquear al 100% los prejuicios y el chisme. Si alguien, por celos, difama a otra persona y lo publica como si fuera verdad, la víctima puede salir perjudicada en el trabajo o en sus relaciones. Por eso las VC y todo internet se burlaron y al final cerró. Me pregunto cómo Tea siquiera es legal; se siente como una difamación con temporizador, pero legal

    • La difamación (calumnia o injuria) solo aplica cuando algo no es cierto o se presenta de forma que pueda entenderse erróneamente como un hecho. Solo cuenta si causa un daño real demostrable o uno que legalmente ya se considera daño. “Este tipo me da vibras creepy y trata horrible a su pareja” es pura opinión. Para que una opinión sea difamación, tendría que incluir hechos concretos y falsos, como “pienso esto de esta persona porque vi tales hechos”. “Siento que esta persona probablemente disfruta cazar” no es difamación. Según la ley de EE. UU., los operadores de apps casi no tienen responsabilidad legal por publicaciones difamatorias hechas por usuarios. Habría que demostrar de forma especial que el servicio indujo ese contenido específico, y en la práctica es difícil que una desarrolladora de apps cruce ese umbral
    • En realidad, creo que estas apps son herramientas ideales para que personas con tendencias criminales o usuarios maliciosos sigan y manipulen a otros. Dicen que son “seguras”, pero en la práctica eso no tiene fundamento
    • Si Tea fuera ilegal, entonces también tendrían que ser ilegales glassdoor, yelp, Google reviews, etc. La misma lógica aplicaría a la verificación de antecedentes en procesos de contratación
    • Dicen que Peeple murió por no poder frenar el prejuicio y el chisme, pero también está la opinión cínica de que, si no hubiera prejuicio ni chisme, nadie usaría una app así
    • Creo que Tea también recibe la protección legal de Section 230 igual que otras redes sociales

  • Creo que se debería impedir que empresas no relacionadas directamente con servicios financieros puedan exigir identificaciones emitidas por el gobierno. Facebook también. Al final, por apps así, decenas de miles de personas quedan expuestas al robo de identidad. Esto es demasiado poco ético para llamarlo growth hacking

    • Estaría bien que Apple o Google ofrecieran a desarrolladores una API de Know Your Customer con alta seguridad. Si la app solo pudiera extraer la información que el usuario autoriza, serviría para muchas apps. No sé si ya existe, pero al menos parece que Tea no usó algo así

  • Este es justo el momento de pensar políticas para responder a violaciones de seguridad tan graves como esta (parece que el almacén de datos de Tea también estaba totalmente desprotegido)

    • Debería ser obligatorio revisar una lista de verificación de seguridad del servidor durante la revisión de publicación en App Store
    • Debería existir un kill switch para bloquear apps en App Store, de modo que el publisher entregue un token privado a Apple y, si ese token se filtra, la app pueda eliminarse de inmediato
    • Se debería obligar a los publishers de apps a guardar en el backend su propia información personal valiosa (por ejemplo, acceso a su cuenta bancaria principal) junto con los datos de los consumidores
      • Legalmente se debería obligar a la empresa a pagar daños reales cuando sufra una brecha de seguridad. La única forma de hacer que una empresa se preocupe por la seguridad es que tenga consecuencias financieras. En este caso no fue obra de hackers de élite, simplemente quedó expuesto para todos en una publicación pública
      • Desde la perspectiva del usuario, de verdad es de sentido común no subir una foto de tu cara y tu licencia de conducir a una app de chismes. Antes se consideraba básico no exponer el nombre real salvo para fines profesionales. No importa lo que diga el sistema: al final la responsabilidad última es del usuario. El SO puede proteger mucho, pero no puede impedir tus propios actos
      • En este caso simplemente usaron un bucket público de Firebase, y bloquear la app no lo resuelve. El backend pudo haber intermediado aparte, pero Apple no puede determinar esa seguridad
      • La idea de exigir que el publisher incluya su propia información personal en el backend es ingeniosa. Como obligar una tabla MY_PERSONAL_INFO en toda base de datos administrativa
      • Estoy en contra de darle más poder a los revisores de apps. Ya rechazan apps con frecuencia sin razón clara, y averiguar por qué fue rechazada es una pesadilla

  • Me pregunto por qué guardaron imágenes de licencias de conducir de usuarios aunque fuera un segundo más después de terminar la verificación

    • A este tipo de conducta habría que imponerle multas enormes. Como no hay castigos reales, estas cosas se repiten. Deberían multarlos con más del 10% de sus ingresos y, en casos realmente graves, no solo a la empresa sino también obligar a los verdaderos accionistas a responder con su patrimonio personal para que exista protección real al consumidor
    • Una app que trata la privacidad de esta manera además está diseñada para permitir subir fotos de otras personas (con o sin su consentimiento) y chismes sobre ellas. Es un servicio que realmente no se preocupa por la privacidad
    • No tengo pruebas, pero me da curiosidad cuál es el modelo de negocio de esta app. Me hace sospechar si no pensaban ganar dinero vendiendo datos de licencias y números telefónicos
    • Esto es exactamente la realidad del vibe coding
    • Según otros reportes, la fila de espera para verificar cuentas nuevas superaba las 17 horas. Es posible que lo que se llevaran los usuarios de 4chan fueran imágenes de esa cola de verificación

  • Si alguien puede usar un LLM para crear perfiles falsos y automatizar la actividad, entonces la confiabilidad y utilidad de datos de usuario como estos sería nula. Las licencias de conducir también se pueden falsificar, y alguien podría sostener una licencia real y hacerse pasar por otra persona. El propio servicio de Tea, su implementación y su proceso están defectuosamente diseñados y representan un riesgo legal para sus desarrolladores

    • Ojalá esto sirva de lección para ser un poco más cuidadosos al enviar información sensible. Que una app se vea bonita o que no sepas bien quién la opera no debería hacerte entregar tu ID tan fácilmente. Hace tiempo, trabajando con una entidad del gobierno de Canadá, me pidieron la identificación por correo electrónico; yo la envié mediante un enlace cifrado, me lo rechazaron y no me quedó otra que ir en persona. Es una locura que internet haya pasado en 10 años de “no uses tu nombre real en YouTube” a “entrega tu identificación a cualquier app”
    • Si se filtra mi licencia y un acosador llega a mi casa, lo voy a despachar diciéndole que claramente debe de ser una licencia falsificada
    • Creo que falsificar una licencia o registrarse usando la identidad de otra persona en la práctica es bastante difícil. Yo no conozco a nadie que prestaría su licencia a otra persona

  • Estoy convencido de que al menos una persona en una startup de IT debería tener formación técnica. Aunque subcontraten todo, alguien debe poder hacer preguntas de seguridad por cuenta propia. El problema no fue que la base de datos simplemente estuviera expuesta a internet, sino que estaba totalmente abierta. Que guardaran IDs de personas en una base de datos pública es algo verdaderamente impactante

    • Ahora existe la idea, con las herramientas de vibe coding, de que ya no hace falta ser técnico ni nada de eso, solo entregar resultados. Los influencers de LinkedIn y los fundadores no se fijan en cómo se despliega, solo en el resultado. Ahora que ya vimos que tratar IT y seguridad como un costo a minimizar no produce el mejor resultado de seguridad, parece que otra vez vamos a tirar todo por la borda y solo preocuparnos por los demás
    • En realidad hay más de cientos de miles de bases de datos públicas de Firebase expuestas sin autenticación. La exposición desprotegida es gravísima, incluso en empresas Fortune 500 [artículo de bleepingcomputer]
    • La capacidad técnica por sí sola no basta. Hace falta experiencia en seguridad. Entre las peores personas que he visto en seguridad había muchas con confianza técnica, pero sin criterio de seguridad
    • Médicos, abogados y arquitectos estudian de 5 a 8 años o más y pasan exámenes. Creo que, dentro de algunas décadas, IT también va a quedar regulado legalmente. Hasta ahora ha sido libre y divertido, pero como todo dependerá de IT, se volverá muy estricto

  • Aunque en la prensa se usó la expresión “filtración de datos”, en realidad fue una base de datos expuesta. En estos casos hace falta un título más preciso. En el titular periodístico debería enfatizarse primero el error del operador del servicio, antes que culpar al hacker

    • “Filtración” es una mala elección de palabra. Da a entender que fue comprometida recientemente, cuando en realidad cualquiera podía verla desde el inicio de la app y apenas hoy salió a la luz. De hecho es una situación aún más grave
    • Por mi experiencia, los artículos originados en 404media muchas veces no tienen la calidad como para aparecer en HN

  • Con la tendencia de gobiernos nacionales o locales a reforzar la verificación de identidad, este es un buen ejemplo de por qué este tipo de incidentes puede terminar teniendo consecuencias muy malas

    • Totalmente de acuerdo

  • “La palabra ‘seguridad’ pesa demasiado en el título, cuando en realidad solo es una app de chismes”