女性向けデーティング安全アプリ「Tea」がハッキングされ、ユーザー情報が4chanに流出

 (404media.co)
2 ポイント 投稿者 GN⁺ 2025-07-26 | 1件のコメント | WhatsAppで共有
  • 女性向け安全デーティングアプリ「Tea」のデータベースが露出し、数千人分のユーザーの顔写真と身分証情報が4chanに流出した
  • 当該DBはGoogle Firebase上で認証なしのまま公開されており、4chanユーザーが自動化スクリプトを使って大規模にダウンロードした
  • Teaは160万人超のユーザーを抱え、ユーザー認証のためにセルフィーと身分証のアップロードを要求している
  • 404 MediaはTeaアプリのコードをデコンパイルして問題の保存先URLが実在することを確認した
  • Tea側は報道機関やGoogleからの問い合わせに応じておらず、元の投稿は削除されたが、アーカイブや後続投稿で流出の状況が引き続き確認されている

Teaアプリのデータ流出事故の概要

露出していたFirebaseストレージ

  • TeaアプリのGoogle Firebaseデータベースは認証なしで公開状態となっており、誰でもアクセス可能だった
  • 4chanユーザーがこの脆弱性を発見し、個人情報とセルフィー写真数千件をダウンロードした
  • データは自動化スクリプトを使って収集され、関連スクリプトも投稿内で共有されていた

流出した情報

  • ユーザーの顔写真、運転免許証のスキャン、生年月日、位置情報などが含まれていたことが確認されている
  • 4chanのスレッドには、露骨で無修正の画像という表現とともに、数千件の資料が収集されたとの記述があった
  • 投稿は「Teaアプリに顔写真と運転免許証をアップロードしていたなら、いま公然とドキシングされている」という文句で拡散された

アプリ構造の確認と認証手続き

  • Teaアプリは会員登録時にユーザー名、位置情報、生年月日、顔写真、身分証写真を要求する
  • 404 MediaはAndroid版アプリをデコンパイルし、実際にFirebaseストレージのURLがコードに含まれていることを確認した
  • 認証手続きとしては、女性であるかを判定するためのセルフィーアップロードが求められ、待ち時間が最大17時間に及ぶこともある

Teaアプリの成長背景

  • 2023年のリリース後、最近では米国App Storeの上位に入るなど、ユーザーが急増していた
  • アプリは「Are We Dating the Same Guy?」のようなFacebookグループに似ており、女性が男性に関する経験を匿名で共有する機能を提供している
  • アプリページには「私たちのコミュニティに聞いてください。その男性が安全か、浮気していないか確認します」という文言がある

不十分な対応

  • Teaアプリと創業者のSean Cookは報道機関や個人メッセージに応答していない
  • Google側にもあるユーザーが問題を報告したが、対応したかどうかは不明だ
  • 流出していたFirebaseページは現在アクセスが遮断されており、「Permission denied」エラーが表示される状態になっている

セキュリティ上の欠陥への懸念

  • ユーザーの非常にセンシティブな情報が保存されるサービスであるにもかかわらず、基本的な認証設定すら行われていなかった
  • 機微情報を要求するアプリがセキュリティの怠慢によって大規模流出事故を引き起こした典型例として指摘されている
  • 信頼を基盤とする女性専用の安全コミュニティとしてのTeaアプリのブランドは、大きな打撃を受けるとみられる

関連記事

1件のコメント

 
GN⁺ 2025-07-26
Hacker Newsの意見

  • archive.todayのリンクで見られる

    • ユーザー認証が必要なサイトを freewalled と呼ぶのは、なかなか面白い

  • このアプリは基本的に Peeple とほとんど同じ構造で、女性だけが登録できるように制限した版にすぎない。Peeple が失敗した理由は、偏見や陰口を 100% 防げなかったからだ。誰かが嫉妬して相手を中傷し、それを事実であるかのように投稿してしまえば、被害者は就職や恋愛で打撃を受ける。だから VC やインターネット全体から嘲笑され、結局閉鎖した。Tea がいったいどうして合法なのか疑問で、合法的な名誉毀損タイマーのように感じる

    • 名誉毀損(中傷または侮辱)は、事実ではないか、あるいは直接的に事実だと誤解させる形でのみ成立する。実際の危険にさらされる損害を生じさせるか、法的にすでに損害とみなされる場合に限られる。「この男は不気味で、恋人をひどく扱う」といったものは純粋に意見にすぎない。意見が名誉毀損になるには、「私はこの人をこう思う。なぜならこういう事実を目撃したからだ」のように、具体的で虚偽の事実を含んでいなければならない。「感じとしてこの人は狩りを楽しんでいそうだ」は名誉毀損ではない。米国法では、アプリ事業者はユーザーが投稿した名誉毀損的な投稿について、ほとんど法的責任を負わない。サービスが特定のコンテンツを誘導したという特殊な立証が必要で、現実にはアプリ開発会社がこの基準を超えるのは難しい
    • 実際には、この種のアプリは犯罪志向の人物や悪意あるユーザーが他人を追跡し、操作するのに適した道具だと思う。「安全」をうたっているが、実態は根拠のない言葉だ
    • もし Tea が違法なら、glassdoor、yelp、Google reviews などもすべて違法でなければならないのではという疑問がある。採用過程での身元確認も同じ論理だ
    • Peeple は偏見や陰口を防げずに失敗したと言われるが、実際には偏見や陰口がなければ誰がこんなアプリを使うのか、という自嘲的な意見だ
    • Tea も他のソーシャルメディアと同じく、Section 230 の法的免責が適用されると思う

  • 金融サービスと直接関係のない企業が政府発行の身分証を要求できないようにすべきだと思う。Facebook も同様だ。結局こうしたアプリのせいで何万人もの人が個人情報盗用のリスクにさらされる。これはグロースハックの構想というにはあまりにも非倫理的だ

    • Apple または Google が、高セキュリティの Know Your Customer API を開発者向けに提供するとよいかもしれない。アプリ側では、ユーザーが許可した情報だけを抽出できるようにすれば、さまざまなアプリで活用できる。すでに存在するのかは分からないが、少なくとも Tea はそれを使っていないようだ

  • 今こそ、このような重大なセキュリティ侵害に対応する政策を考えるべき時だと思う(Tea のデータ保存先も無防備だったようだ)

    • App Store の登録審査では、サーバーセキュリティのチェックリスト確認を必須にすべきだ
    • App Store にブロック用キルスイッチを作り、パブリッシャーが非公開トークンを Apple に提出し、そのトークンが流出したらアプリをすぐ削除できるようにすべきだ
    • アプリのパブリッシャーに、自分自身の貴重な個人情報(例: 主要な銀行口座へのアクセス権)を消費者データと一緒にバックエンドへ保存することを義務付けるべきだ
      • 企業がセキュリティ侵害時に実質的な損害賠償責任を法的に負うようにすべきだ。企業にセキュリティを気にさせる唯一の方法は、財政的な不利益だ。この件では超一流ハッカーの犯行ではなく、単に公開状態にされていて誰にでも見えた状況だった
      • ユーザーの立場からすれば、顔写真と運転免許証を陰口アプリにアップロードしてはいけないのは、まったく常識的な話だ。子どもの頃から、実名を職業的用途以外で晒さないのが基本的な常識だった。システムが何を言おうと、最終責任は結局ユーザーにある。OS がどれだけ保護しても、自分の行動までは止められない
      • 今回の件は単に公開 Firebase バケットを使っていただけで、アプリをブロックしても解決しない。バックエンドが別に中継していた可能性もあるが、Apple にはそのセキュリティは判定できない
      • パブリッシャーに自分の個人情報もバックエンドに含めさせるという提案は巧妙だ。すべての管理者 DB に MY_PERSONAL_INFO テーブルを義務化するアイデアだ
      • アプリ審査担当者の権限を増やすことには反対だ。すでに理由もなくアプリを却下されることがよくあり、なぜ却下されたのかを突き止めるのがあまりにも苦痛だからだ

  • なぜユーザーの運転免許証画像を、認証が終わった後でも一瞬たりとも余計に保存していたのか疑問だ

    • こうした行為には莫大な課徴金を科すべきだ。適切な罰則がないから、こういう振る舞いが繰り返される。売上の 10% 以上の罰金を科すべきで、本当にひどい場合は法人だけでなく実際の持分保有者の個人資産にまで損害賠償責任を負わせてこそ、消費者保護が実現する
    • 個人情報をこのように扱うアプリが、実際には他人の写真(同意の有無にかかわらず)や陰口までアップロードできるように設計されている。プライバシーを本当に気にしていないサービスだ
    • 何の根拠もないが、このアプリの収益モデルが気になる。運転免許証や電話番号の情報を売って稼ごうとしていたのではないかと推測してしまう
    • こういうのがまさに vibe coding の現実だ
    • 別の報道によれば、新規アカウントの認証待ちキューが 17 時間を超えていたという。4chan のユーザーたちが持ち去ったのは、おそらく認証待ちキューの画像だったのかもしれない

  • 誰かが LLM を使って偽プロフィールを作り、活動を自動生成できるなら、この種のユーザーデータの信頼性や有用性はまったくなくなるだろう。運転免許証も偽造できるし、本物の運転免許証を持って他人になりすますこともできる。Tea のサービス自体、その実装、そしてプロセスは設計上の欠陥であり、開発者にとって法的リスクだ

    • 機微な情報を提出するときは、もう少し慎重になるべきだという教訓になればよいと思う。アプリがきれいだとか、誰が運営しているのか分からないのに、身分証を簡単に提出してはいけない。以前、カナダの政府機関と仕事をしていたとき、身分証をメールで送ってくれと言われたので、暗号化リンクで送ったら拒否され、結局直接出向くしかなくなった。インターネットが 10 年で「YouTube に本名を書くな」から「どんなアプリにも身分証を提出しろ」に変わってしまった現実は狂っている
    • 自分の運転免許証が流出してストーカーが家に来たら、その人物が明らかに偽造免許だと言って追い返すことになるだろう
    • 運転免許証の偽造や他人名義での登録は、実際にはかなり難しいと思う。少なくとも自分の周りには、自分の免許を他人に貸すような人はいない

  • IT で起業しようとするなら、少なくとも 1 人は技術的なバックグラウンドを持つべきだと確信している。外注をすべて任せるとしても、自分でセキュリティ関連の質問をできる必要がある。問題は、データベースが単にインターネットに露出していたのではなく、本当に完全公開だったことだ。人々の ID を公開 DB に保管していたというのは文字通り衝撃的だ

    • 今は vibe coding ツールがあるので、技術的なことなど必要なく、ただ結果だけ出せばいいという雰囲気がある。LinkedIn のインフルエンサーや起業家たちは配備の仕方には関心がなく、結果しか見ていないということだ。IT とセキュリティを最小化すべきコストとしてしか見なかったことが、最適なセキュリティ結果を生まないと気づいた今、またすべてを投げ出して他人のことばかり心配する羽目になりそうだ
    • 実際、認証なしで公開されている firebase データベースは数十万件以上ある。Fortune 500 企業まで含めて、無防備な露出は深刻だ [bleepingcomputer の記事]
    • 技術的能力だけでは不十分だ。セキュリティのバックグラウンドが必須だ。本当にセキュリティ面で最悪だった人たちの中には、技術にだけ自信があってセキュリティの素養がない人が多かった
    • 医師、弁護士、建築士は 5~8 年、あるいはそれ以上学び、試験を受ける。IT も今後あと何十年かすれば、法的にも規制されるようになるだろう。これまでは自由で楽しかったが、これからはあらゆるものが IT に依存するようになるので、非常に厳しくなると思う

  • 「データ漏えい」という表現がメディアでは使われていたが、実際には露出した DB だった。この場合はもっと正確な見出しが必要だ。記事のヘッドラインでは、ハッカーのせいよりサービス運営側の過失を先に強調すべきだ

    • 「漏えい」という言葉は不適切な選択だ。最近侵害されたと誤解されるが、実際にはアプリ開始時点から誰でも見られる状態で、今日になってそれが明らかになっただけだ。むしろもっと深刻な状況だ
    • 私の経験では、404media 発の記事は HN に載るほどのクオリティでないことが多かった

  • 国や地方自治体が ID 認証を強化する流れの中で、こうした事故がなぜ悪い結果を招きうるのかをよく示す事例だ

    • 完全に同意する

  • 「安全」という言葉がタイトルであまりにも重要な役割を果たしているが、実際にはただの陰口アプリだ」