Ứng dụng hẹn hò an toàn dành cho phụ nữ "Tea" bị hack, thông tin người dùng bị rò rỉ lên 4chan

 (404media.co)
2 điểm bởi GN⁺ 2025-07-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Cơ sở dữ liệu của ứng dụng hẹn hò an toàn dành cho phụ nữ 'Tea' đã bị lộ, khiến ảnh khuôn mặt và thông tin giấy tờ tùy thân của hàng nghìn người dùng bị phát tán lên 4chan
  • Cơ sở dữ liệu này đã được công khai trên Google Firebase mà không có xác thực, và người dùng 4chan đã dùng script tự động để tải xuống với quy mô lớn
  • Tea có hơn 1,6 triệu người dùngyêu cầu tải lên ảnh selfie cùng giấy tờ tùy thân để xác minh người dùng
  • 404 Media đã giải biên dịch mã của ứng dụng Tea để xác nhận rằng URL kho lưu trữ liên quan thực sự tồn tại
  • Phía Tea không phản hồi các câu hỏi từ báo chí hay Google; bài đăng gốc đã bị xóa, nhưng kho lưu trữ và các bài đăng tiếp theo vẫn tiếp tục cho thấy dấu hiệu rò rỉ

Tổng quan về sự cố rò rỉ dữ liệu của ứng dụng Tea

Kho lưu trữ Firebase bị lộ

  • Cơ sở dữ liệu Google Firebase của ứng dụng Tea đã ở trạng thái công khai mà không có xác thực, nên bất kỳ ai cũng có thể truy cập
  • Người dùng 4chan đã phát hiện lỗ hổng này và tải xuống hàng nghìn dữ liệu cá nhân và ảnh selfie
  • Dữ liệu được thu thập bằng script tự động, và script liên quan cũng đã được chia sẻ trong bài đăng

Thông tin bị rò rỉ

  • Được xác nhận là bao gồm ảnh khuôn mặt người dùng, bản quét bằng lái xe, ngày sinh, thông tin vị trí, v.v.
  • Trong thread trên 4chan có đề cập rằng đã thu thập được hàng nghìn tài liệu, kèm mô tả là hình ảnh trần trụi và không kiểm duyệt
  • Bài đăng lan truyền với câu: “Nếu bạn đã tải khuôn mặt và bằng lái xe của mình lên ứng dụng Tea, thì giờ đây bạn đã bị doxx công khai”

Xác nhận cấu trúc ứng dụng và quy trình xác minh

  • Ứng dụng Tea yêu cầu tên người dùng, vị trí, ngày sinh, ảnh khuôn mặt và ảnh giấy tờ tùy thân khi đăng ký
  • 404 Media đã giải biên dịch phiên bản Android của ứng dụng và xác nhận rằng URL kho lưu trữ Firebase thực sự có trong mã nguồn
  • Trong quy trình xác minh, người dùng phải tải lên ảnh selfie để xác định có phải là phụ nữ hay không, và thời gian chờ đôi khi lên tới 17 giờ

Bối cảnh tăng trưởng của ứng dụng Tea

  • Sau khi ra mắt vào năm 2023, gần đây ứng dụng đã vươn lên nhóm đầu trên App Store tại Mỹ, kéo theo lượng người dùng tăng mạnh
  • Tương tự các nhóm Facebook như 'Are We Dating the Same Guy?', ứng dụng cung cấp tính năng để phụ nữ chia sẻ ẩn danh trải nghiệm về đàn ông
  • Trên trang ứng dụng có dòng: “Hãy hỏi cộng đồng của chúng tôi. Chúng tôi sẽ giúp bạn kiểm tra xem anh ta có an toàn hay không, có đang lừa dối hay không”

Phản ứng yếu kém

  • Ứng dụng Tea và nhà sáng lập Sean Cook đã không phản hồi báo chí cũng như tin nhắn cá nhân
  • Một người dùng cũng đã báo cáo vấn đề này cho Google, nhưng chưa rõ có biện pháp xử lý hay không
  • Trang Firebase bị rò rỉ hiện đã bị chặn truy cập và hiển thị lỗi “Permission denied”

Lo ngại về lỗ hổng bảo mật

  • Dù là dịch vụ lưu trữ thông tin cực kỳ nhạy cảm của người dùng, nhưng ngay cả thiết lập xác thực cơ bản cũng không được áp dụng
  • Đây được xem là ví dụ điển hình về một ứng dụng yêu cầu dữ liệu nhạy cảm nhưng lại gây ra sự cố rò rỉ quy mô lớn do lơ là bảo mật
  • Thương hiệu Tea với vai trò là cộng đồng an toàn dành riêng cho phụ nữ dựa trên niềm tin có khả năng sẽ chịu tổn hại lớn

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-26
Ý kiến trên Hacker News

  • Có thể xem tại liên kết archive.today

    • Cách gọi các trang yêu cầu xác thực người dùng là “freewalled” cũng khá thú vị

  • Ứng dụng này về cơ bản gần như giống hệt Peeple, chỉ khác là giới hạn cho phụ nữ đăng ký. Lý do Peeple thất bại là vì không thể chặn hoàn toàn định kiến và nói xấu. Nếu ai đó ghen tức rồi bôi nhọ người khác như thể đó là sự thật, nạn nhân có thể bị ảnh hưởng đến việc làm hoặc chuyện hẹn hò. Vì thế giới VC và cả internet đã chế giễu nó, rồi cuối cùng nó đóng cửa. Không rõ Tea làm sao lại hợp pháp được, cảm giác như một công cụ phỉ báng có hẹn giờ hợp pháp

    • Phỉ báng (bôi nhọ hoặc xúc phạm) chỉ cấu thành khi nội dung là sai sự thật hoặc khiến người khác hiểu lầm trực tiếp là sự thật. Nó chỉ áp dụng khi gây ra thiệt hại thực tế do việc bị đặt vào rủi ro, hoặc thiệt hại mà pháp luật đã mặc nhiên xem là tổn hại. Kiểu như “người đàn ông này đáng sợ và đối xử tệ với người yêu” thì thuần túy chỉ là ý kiến. Để ý kiến trở thành phỉ báng, nó phải bao gồm những tình tiết cụ thể nhưng sai sự thật, như “tôi nghĩ người này như vậy vì tôi đã tận mắt thấy các sự việc thế này thế kia”. Câu kiểu “tôi có cảm giác người này thích săn mồi” không phải là phỉ báng. Theo luật Mỹ, nhà cung cấp dịch vụ ứng dụng hầu như không chịu trách nhiệm pháp lý về các bài đăng mang tính phỉ báng do người dùng tạo ra. Phải chứng minh được trường hợp đặc biệt là dịch vụ đã chủ động dẫn dắt loại nội dung đó, và trên thực tế rất khó để công ty phát triển ứng dụng vượt qua ngưỡng này
    • Thực tế, tôi nghĩ kiểu ứng dụng này lại là công cụ rất hợp cho tội phạm hoặc người dùng có ác ý theo dõi và thao túng người khác. Nó tự nhận là “an toàn”, nhưng thật ra đó là tuyên bố không có cơ sở
    • Nếu Tea là bất hợp pháp, thì chẳng phải glassdoor, yelp, Google reviews v.v. cũng phải đều là bất hợp pháp sao. Việc xác minh danh tính trong quá trình tuyển dụng cũng theo logic tương tự
    • Có ý kiến mỉa mai rằng nói Peeple sụp đổ vì không chặn được định kiến và nói xấu, nhưng thật ra nếu không có định kiến và nói xấu thì ai sẽ dùng loại ứng dụng này?
    • Tôi nghĩ Tea cũng được hưởng miễn trừ pháp lý theo Section 230 như các mạng xã hội khác

  • Tôi nghĩ nên cấm các công ty không liên quan trực tiếp đến dịch vụ tài chính yêu cầu giấy tờ tùy thân do chính phủ cấp. Facebook cũng vậy. Cuối cùng chính những ứng dụng như thế này khiến hàng chục nghìn người bị đặt vào nguy cơ đánh cắp danh tính. Gọi đây là ý tưởng growth hacking thì quá phi đạo đức

    • Sẽ hay nếu Apple hoặc Google cung cấp cho lập trình viên một API Know Your Customer có bảo mật cao. Nếu ứng dụng chỉ có thể trích xuất thông tin mà người dùng cho phép thì có thể dùng cho nhiều app khác nhau. Tôi không biết đã có chưa, nhưng ít nhất có vẻ Tea đã không dùng nó

  • Có lẽ đây chính là lúc cần nghĩ đến chính sách để ứng phó với những vi phạm bảo mật nghiêm trọng như thế này (có vẻ kho dữ liệu của Tea cũng để ngỏ hoàn toàn)

    • Khi duyệt đăng App Store, nên bắt buộc kiểm tra một checklist bảo mật máy chủ
    • Nên tạo kill switch chặn App Store để publisher nộp một token riêng tư cho Apple, và nếu token đó bị lộ thì có thể gỡ ứng dụng ngay lập tức
    • Nên buộc publisher ứng dụng phải lưu chính dữ liệu cá nhân quý giá của họ vào backend cùng với dữ liệu người dùng, ví dụ quyền truy cập tài khoản ngân hàng chính
      • Công ty phải chịu trách nhiệm bồi thường thiệt hại thực chất khi bị xâm phạm bảo mật theo quy định pháp luật. Cách duy nhất khiến công ty quan tâm đến bảo mật là tổn thất tài chính. Trong trường hợp này không phải do siêu hacker gì cả, mà đơn giản là mọi thứ bị phơi ra công khai
      • Từ phía người dùng, nói thật theo lẽ thường thì không nên đưa ảnh mặt và bằng lái xe lên một app nói xấu. Ngày xưa chuyện cơ bản ai cũng biết là không công khai danh tính thật ngoài mục đích nghề nghiệp. Dù hệ thống nói gì thì trách nhiệm cuối cùng vẫn thuộc về người dùng. OS có bảo vệ tốt đến đâu cũng không thể ngăn cản hành vi của chính bạn
      • Vụ này chỉ đơn giản là dùng một Firebase bucket công khai, chặn app cũng không giải quyết được. Cũng có thể backend trung chuyển riêng, nhưng Apple không thể đánh giá được phần bảo mật đó
      • Đề xuất bắt publisher đưa thông tin cá nhân của chính họ vào backend là một ý tưởng khá độc. Ý tưởng bắt buộc mọi DB quản trị phải có bảng MY_PERSONAL_INFO
      • Tôi phản đối việc tăng thêm quyền cho người duyệt app. Họ vốn đã hay từ chối app vô lý, mà việc tìm hiểu vì sao bị từ chối đã quá mệt mỏi rồi

  • Không hiểu vì sao họ vẫn lưu ảnh bằng lái của người dùng lâu hơn dù chỉ một khoảnh khắc sau khi xác thực xong

    • Nên phạt cực nặng những hành vi như vậy. Chính vì không có chế tài đủ mạnh nên kiểu làm ăn này cứ lặp lại. Phải phạt trên 10% doanh thu, và nếu thật sự nghiêm trọng thì không chỉ pháp nhân mà cả tài sản cá nhân của cổ đông thực sự cũng phải chịu bồi thường thì mới bảo vệ được người tiêu dùng
    • Một ứng dụng xử lý dữ liệu cá nhân như thế này thực chất lại được thiết kế để cho phép tải lên ảnh của người khác (dù có đồng ý hay không) và cả nội dung nói xấu. Đây là một dịch vụ hoàn toàn không quan tâm đến quyền riêng tư
    • Không có căn cứ gì, nhưng tôi tò mò mô hình kiếm tiền của app này là gì. Có khi họ định kiếm tiền bằng cách bán thông tin bằng lái và số điện thoại chăng
    • Đây đúng là thực tế của vibe coding
    • Theo các bài báo khác, hàng đợi xác minh tài khoản mới đã vượt quá 17 giờ. Có thể thứ mà người dùng 4chan lấy đi là các ảnh trong hàng đợi xác minh đó

  • Nếu ai đó dùng LLM để tạo hồ sơ giả và tự động tạo hoạt động, thì độ tin cậy hay giá trị của dữ liệu người dùng kiểu này sẽ bằng không. Bằng lái cũng có thể làm giả, hoặc cầm bằng lái thật rồi giả làm người khác. Bản thân dịch vụ, cách triển khai và quy trình của Tea đều là lỗi thiết kế, và là rủi ro pháp lý cho các nhà phát triển

    • Mong rằng đây sẽ là bài học để mọi người cẩn trọng hơn khi nộp thông tin nhạy cảm. Không nên dễ dàng nộp ID chỉ vì app trông đẹp hoặc không rõ ai đang vận hành dịch vụ. Trước đây khi làm việc với một cơ quan chính phủ Canada, họ đòi tôi gửi giấy tờ tùy thân qua email, tôi gửi bằng liên kết mã hóa thì họ từ chối nên tôi buộc phải đến trực tiếp. Thật điên khi internet chỉ trong 10 năm đã đi từ “đừng dùng tên thật trên YouTube” sang “nộp ID cho bất kỳ app nào”
    • Nếu bằng lái của tôi bị lộ và kẻ bám đuôi tìm đến nhà, chắc tôi sẽ đuổi hắn đi với lý do rõ ràng là hắn phải dùng bằng lái giả
    • Tôi nghĩ làm giả bằng lái hoặc đăng ký dưới danh nghĩa người khác trên thực tế khá khó. Thật sự tôi không quen ai sẵn sàng cho người khác mượn bằng lái của mình

  • Tôi tin chắc rằng startup IT nên có ít nhất một người có nền tảng kỹ thuật. Dù thuê ngoài toàn bộ thì cũng phải biết tự đặt câu hỏi về bảo mật. Vấn đề không phải là cơ sở dữ liệu chỉ bị lộ ra internet, mà là nó thực sự mở toang hoàn toàn. Việc họ lưu ID của mọi người trong một DB công khai đúng là gây sốc

    • Giờ thì có các công cụ vibe coding, nên người ta mang tâm lý là không cần kỹ thuật hay gì cả, chỉ cần ra kết quả là được. Các influencer LinkedIn hay founder chỉ nhìn kết quả, không quan tâm cách triển khai. Giờ khi đã nhận ra coi nhẹ IT và bảo mật như một khoản chi phí tối thiểu không dẫn đến kết quả bảo mật tối ưu, có vẻ người ta lại chuẩn bị vứt hết sang một bên và tiếp tục lo chuyện của người khác
    • Thực tế có hơn hàng trăm nghìn cơ sở dữ liệu firebase công khai không cần xác thực đang bị phơi ra. Tình trạng lộ thiên vô phòng bị rất nghiêm trọng, kể cả ở các công ty Fortune 500 [bài của bleepingcomputer]
    • Chỉ có năng lực kỹ thuật thôi là chưa đủ. Cần có nền tảng bảo mật. Một số người tệ nhất mà tôi từng thấy về bảo mật lại là những người quá tự tin vào kỹ thuật nhưng không có kiến thức an ninh
    • Bác sĩ, luật sư, kiến trúc sư học và thi 5–8 năm hoặc hơn. Tôi nghĩ rồi ngành IT sau này cũng sẽ bị quản lý bằng pháp luật khi thêm vài chục năm nữa trôi qua. Đến giờ lĩnh vực này vẫn còn tự do và thú vị, nhưng về sau mọi thứ sẽ phụ thuộc vào IT nên sẽ bị siết rất chặt

  • Báo chí dùng cụm “rò rỉ dữ liệu”, nhưng thực tế đó là một DB bị phơi lộ. Trong trường hợp này cần một tiêu đề chính xác hơn. Trên headline của bài báo nên nhấn mạnh lỗi của bên vận hành dịch vụ trước khi đổ cho hacker

    • Dùng từ “rò rỉ” là không đúng. Nó khiến người ta hiểu lầm là mới bị xâm nhập gần đây, trong khi thực tế là từ lúc ứng dụng ra mắt ai cũng xem được, chỉ là đến hôm nay mới bị phát hiện. Như vậy còn nghiêm trọng hơn
    • Theo kinh nghiệm của tôi, các bài từ 404media thường không đạt chất lượng đáng để lên HN

  • Đây là ví dụ cho thấy rất rõ vì sao các xu hướng tăng cường xác minh ID ở cấp quốc gia hoặc chính quyền địa phương có thể dẫn đến hậu quả xấu

    • Hoàn toàn đồng ý

  • “‘An toàn’ là từ đóng vai trò quá quan trọng trong tiêu đề, trong khi thực chất đây chỉ là một app nói xấu”