Piratage de l’app de sécurité amoureuse pour femmes « Tea » : des données d’utilisatrices divulguées sur 4chan

 (404media.co)
2 points par GN⁺ 2025-07-26 | 1 commentaires | Partager sur WhatsApp
  • La base de données de l’application de rencontres sécurisées pour femmes « Tea » a été exposée, et des milliers de photos de visages d’utilisatrices ainsi que des pièces d’identité ont fuité sur 4chan
  • Cette base était publiquement accessible sur Google Firebase sans authentification, et des utilisateurs de 4chan l’ont téléchargée à grande échelle à l’aide de scripts automatisés
  • Tea compte plus de 1,6 million d’utilisatrices et impose l’envoi d’un selfie et d’une pièce d’identité pour vérifier les comptes
  • 404 Media a décompilé le code de l’application Tea pour confirmer que l’URL du stockage concerné existait bien
  • Tea n’a répondu ni aux sollicitations de la presse ni à celles de Google ; le message d’origine a été supprimé, mais des archives et publications ultérieures continuent de confirmer la fuite

Vue d’ensemble de la fuite de données de l’app Tea

Stockage Firebase exposé

  • La base de données Google Firebase de Tea était accessible publiquement sans authentification, donc ouverte à n’importe qui
  • Des utilisateurs de 4chan ont découvert cette faille et téléchargé des milliers de données personnelles et selfies
  • Les données ont été collectées à l’aide de scripts automatisés, également partagés dans les messages du forum

Informations divulguées

  • Il a été confirmé que la fuite comprenait des photos de visage, des scans de permis de conduire, des dates de naissance et des données de localisation
  • Dans le fil 4chan, il était question d’images explicites et non censurées, avec des mentions indiquant que des milliers de fichiers avaient été récupérés
  • Le message s’est propagé avec la formule : « Si vous avez envoyé votre visage et votre permis de conduire à l’app Tea, vous avez maintenant été doxxée publiquement »

Vérification de la structure de l’app et procédure d’authentification

  • Lors de l’inscription, Tea demande un nom d’utilisateur, une localisation, une date de naissance, une photo du visage et une photo d’une pièce d’identité
  • 404 Media a décompilé la version Android de l’application et confirmé que l’URL du stockage Firebase était bien incluse dans le code
  • La procédure de vérification exige notamment l’envoi d’un selfie pour déterminer si la personne est une femme, avec un délai d’attente pouvant aller jusqu’à 17 heures

Contexte de la croissance de Tea

  • Lancée en 2023, l’application a récemment grimpé dans le haut du classement de l’App Store américain, avec une forte hausse du nombre d’utilisatrices
  • À l’image de groupes Facebook comme « Are We Dating the Same Guy? », l’application permet aux femmes de partager anonymement leurs expériences au sujet d’hommes
  • La page de l’app affiche le message : « Demandez à notre communauté. Nous vous aiderons à vérifier s’il est sûr et s’il ne vous trompe pas »

Réponse insuffisante

  • Tea et son fondateur, Sean Cook, n’ont répondu ni à la presse ni aux messages privés
  • Un utilisateur a également signalé le problème à Google, mais on ignore quelle suite y a été donnée
  • La page Firebase concernée n’est plus accessible et affiche désormais une erreur « Permission denied »

Inquiétudes sur les failles de sécurité

  • Bien qu’il s’agisse d’un service stockant des informations extrêmement sensibles, même les paramètres d’authentification de base n’étaient pas activés
  • Ce cas est présenté comme un exemple typique d’application exigeant des données sensibles mais provoquant une fuite massive à cause d’une négligence en matière de sécurité
  • L’image de Tea en tant que communauté de confiance dédiée à la sécurité des femmes devrait subir un sérieux préjudice

À lire aussi

1 commentaires

 
GN⁺ 2025-07-26
Avis Hacker News

  • Visible via le lien archive.today

    • C’est assez drôle, comme expression, de qualifier de « freewalled » un site qui exige une authentification utilisateur

  • Cette app a fondamentalement presque exactement la même structure que Peeple, simplement avec une inscription réservée aux femmes. Si Peeple a échoué, c’est parce qu’il était impossible d’empêcher à 100 % les biais et la médisance. Si quelqu’un, par jalousie, dénigre une autre personne et publie cela comme si c’était vrai, la victime peut en subir les conséquences dans sa recherche d’emploi ou sa vie amoureuse. C’est pourquoi les VC et tout l’internet s’en sont moqués avant que le service ne ferme finalement. Je me demande franchement comment Tea peut être légal, on dirait légalement une minuterie à diffamation

    • La diffamation (calomnie ou injure) n’existe que si les propos sont faux ou formulés de manière à pouvoir être compris comme des faits. Cela ne concerne que les cas causant un préjudice réel ou déjà reconnu juridiquement comme un dommage. Dire « ce mec est creepy et traite terriblement sa partenaire » n’est qu’une opinion. Pour qu’une opinion devienne diffamatoire, il faut qu’elle inclue des faits concrets et faux, du type « je pense cela de cette personne parce que j’ai vu tels et tels faits ». « J’ai l’impression que cette personne aime chasser » n’est pas de la diffamation. En droit américain, les opérateurs d’apps ne sont presque jamais légalement responsables des contenus diffamatoires publiés par leurs utilisateurs. Il faudrait prouver, dans des cas particuliers, que le service a explicitement incité à ce type de contenu, et en pratique il est difficile pour un éditeur d’app de franchir ce seuil
    • En réalité, j’ai plutôt l’impression que ce genre d’app constitue un outil idéal pour permettre à des personnes mal intentionnées ou à profil criminel de suivre et manipuler autrui. Elle prétend offrir de la « sécurité », mais en pratique c’est sans fondement
    • Si Tea était illégal, alors il faudrait se demander si glassdoor, yelp, Google reviews, etc. ne devraient pas l’être aussi. La même logique vaudrait pour les vérifications d’antécédents lors d’un recrutement
    • On dit que Peeple a échoué parce qu’il n’a pas pu empêcher les biais et la médisance, mais il y a aussi cette remarque désabusée : sans biais ni médisance, qui utiliserait vraiment une app comme celle-là ?
    • Je pense que Tea bénéficie lui aussi de l’immunité juridique de la Section 230, comme les autres réseaux sociaux

  • Je pense qu’il faudrait interdire aux entreprises sans lien direct avec les services financiers d’exiger des pièces d’identité émises par l’État. Facebook pareil. Au final, à cause de ce type d’app, des dizaines de milliers de personnes sont exposées au risque d’usurpation d’identité. C’est bien trop contraire à l’éthique pour appeler ça du growth hacking

    • Ce serait bien qu’Apple ou Google fournissent aux développeurs une API Know Your Customer hautement sécurisée. Si l’app ne pouvait extraire que les informations que l’utilisateur a explicitement autorisées, cela pourrait servir à de nombreuses apps. Je ne sais pas si cela existe déjà, mais Tea, en tout cas, n’a visiblement pas utilisé quelque chose comme ça

  • Je pense que c’est précisément le moment de réfléchir à des politiques pour répondre à ce type de violation de sécurité grave (le stockage de données de Tea semblait lui aussi laissé sans protection)

    • Lors de l’examen pour l’App Store, il faudrait rendre obligatoire une checklist de sécurité serveur
    • Il faudrait créer un kill switch de blocage App Store, afin que l’éditeur puisse remettre à Apple un jeton privé, et que si ce jeton fuit, l’app puisse être supprimée immédiatement
    • Il faudrait obliger les éditeurs d’apps à stocker dans leur backend leurs propres données personnelles précieuses (par exemple l’accès à leur compte bancaire principal) avec les données des consommateurs
      • Il faudrait qu’en cas d’incident de sécurité, l’entreprise soit légalement tenue à une indemnisation substantielle. La seule manière de pousser les entreprises à se soucier de la sécurité, c’est de créer un désavantage financier. Ici, il ne s’agit même pas d’un pirate extrêmement compétent, tout était simplement exposé publiquement
      • Du point de vue des utilisateurs, il devrait aller de soi qu’il ne faut pas téléverser sa photo de visage et son permis de conduire sur une app de médisance. Quand j’étais plus jeune, il allait de soi qu’on n’exposait pas son vrai nom sauf dans un cadre professionnel. Peu importe ce que dit le système, la responsabilité finale revient à l’utilisateur. Même le meilleur OS ne peut pas empêcher quelqu’un d’agir lui-même ainsi
      • Dans cette affaire, il s’agissait simplement d’un bucket Firebase public, et bloquer l’app ne résoudrait rien. Le backend aurait pu passer par un intermédiaire séparé, mais Apple ne peut pas évaluer cette sécurité
      • L’idée d’exiger que l’éditeur mette aussi ses propres données personnelles dans le backend est inventive. Une idée du type table MY_PERSONAL_INFO obligatoire dans toutes les bases d’administration
      • Je suis contre l’idée d’accroître les pouvoirs des reviewers d’apps. Ils rejettent déjà souvent des apps sans raison claire, et découvrir pourquoi est déjà extrêmement pénible

  • Je me demande pourquoi l’image du permis de conduire de l’utilisateur a été conservée ne serait-ce qu’un instant de plus après la fin de la vérification

    • Il faudrait imposer des amendes énormes pour ce genre de pratique. Faute de vraies sanctions, ce comportement se répète. Il faudrait des amendes d’au moins 10 % du chiffre d’affaires, et dans les cas vraiment graves, permettre d’engager non seulement la société mais aussi le patrimoine personnel des véritables détenteurs de parts, afin d’assurer une réelle protection des consommateurs
    • Une app qui traite les données personnelles de cette façon est aussi, en pratique, une app conçue pour permettre de téléverser les photos d’autres personnes (avec ou sans leur consentement) ainsi que des ragots à leur sujet. C’est un service qui ne se soucie absolument pas de la vie privée
    • Je n’ai aucune preuve, mais je me demande quel est le modèle économique de cette app. On peut soupçonner qu’elle comptait gagner de l’argent en revendant les données de permis de conduire et de numéros de téléphone
    • Voilà à quoi ressemble concrètement le vibe coding
    • D’après d’autres articles, la file d’attente pour la vérification des nouveaux comptes dépassait 17 heures. Il est possible que les utilisateurs de 4chan aient récupéré les images de cette file d’attente de vérification

  • Si quelqu’un pouvait utiliser un LLM pour créer de faux profils et automatiser l’activité, alors la fiabilité et l’utilité de ces données utilisateur seraient nulles. Un permis de conduire peut aussi être falsifié, et on peut tenir un vrai permis en se faisant passer pour quelqu’un d’autre. Le service de Tea lui-même, sa mise en œuvre et son processus relèvent d’un défaut de conception et créent un risque juridique pour les développeurs

    • J’espère que cela servira de leçon pour être un peu plus prudent lorsqu’on soumet des informations sensibles. Il ne faut pas envoyer trop facilement sa pièce d’identité juste parce qu’une app est jolie, ou quand on ne sait même pas vraiment qui fournit le service. J’ai autrefois travaillé avec une administration canadienne qui me demandait ma pièce d’identité par e-mail ; je l’ai envoyée via un lien chiffré, mais cela a été refusé et j’ai dû me déplacer en personne. Il est fou de voir qu’en dix ans on est passé de « n’utilise pas ton vrai nom sur YouTube » à « envoie ta pièce d’identité à n’importe quelle app »
    • Si mon permis de conduire fuit et qu’un harceleur vient chez moi, je le renverrai bien sûr en lui disant qu’il s’agit manifestement d’un faux permis
    • Je pense qu’en pratique, falsifier un permis de conduire ou s’inscrire au nom d’un tiers est assez difficile. Je ne connais personne autour de moi qui prêterait son permis à quelqu’un d’autre

  • Je suis convaincu que toute personne voulant lancer une startup IT devrait avoir au moins une personne avec un bagage technique. Même en externalisant tout, il faut au moins être capable de poser soi-même des questions de sécurité. Le problème n’était pas simplement qu’une base de données était exposée sur internet, elle était en réalité totalement publique. Stocker les pièces d’identité de gens dans une base publique, c’est proprement sidérant

    • Aujourd’hui, avec les outils de vibe coding, l’ambiance est plutôt qu’il n’y a plus besoin d’être technique ou quoi que ce soit, il suffit de produire un résultat. Les influenceurs LinkedIn et les fondateurs ne s’intéressent pas à la manière dont c’est déployé, seulement au résultat. Maintenant qu’on a compris que considérer l’IT et la sécurité comme un simple coût à minimiser ne produit pas le meilleur résultat possible en matière de sécurité, on dirait qu’on recommence à tout jeter par-dessus bord en laissant les autres s’inquiéter
    • En réalité, il existe plus de centaines de milliers de bases Firebase publiques sans authentification. Même des entreprises du Fortune 500 sont gravement exposées [article de bleepingcomputer]
    • Les compétences techniques seules ne suffisent pas. Une expérience en sécurité est indispensable. Parmi les pires personnes que j’ai vues en matière de sécurité, beaucoup avaient confiance en leur technique mais aucune culture sécurité
    • Les médecins, avocats et architectes étudient pendant 5 à 8 ans, voire plus, puis passent des examens. L’IT aussi finira probablement par être réglementée juridiquement d’ici quelques décennies. Jusqu’ici c’était libre et amusant, mais à l’avenir tout dépendra de l’IT, donc cela deviendra à mon avis extrêmement strict

  • Les médias ont utilisé l’expression « fuite de données », mais en réalité il s’agissait d’une base exposée. Dans ce cas, il faut un titre plus précis. Dans les gros titres, il faudrait insister d’abord sur la faute de l’opérateur du service, plutôt que sur les hackers

    • Le mot « fuite » est un mauvais choix. Il donne l’impression d’une compromission récente, alors qu’en réalité la base était visible par n’importe qui depuis le lancement de l’app, et cela n’a été révélé qu’aujourd’hui. C’est encore plus grave, en fait
    • D’après mon expérience, les articles de 404media n’ont souvent pas la qualité attendue pour figurer sur HN

  • Avec la tendance des États ou des collectivités locales à renforcer la vérification d’identité, c’est un très bon exemple de la manière dont ce type d’incident peut produire de mauvais résultats

    • Tout à fait d’accord

  • « Le mot “sécurité” joue un rôle bien trop important dans le titre, alors qu’en réalité ce n’est qu’une app de ragots »