男性品定めアプリ「Tea」から今度はメッセージ内容が流出

あまりにも露悪的だとして一部ネットユーザーの怒りを買い、利用者の顔写真が流出する騒ぎに発展したデートアドバイスアプリ「Tea」から、今度はメッセージ内容が流出しました。個人的なやりとりを盗み見て、メッセージ内容から個人を特定することも容易だったと発見者は伝えています。

A Second Tea Breach Reveals Users’ DMs About Abortions and Cheating
https://www.404media.co/a-second-tea-breach-reveals-users-dms-about-abortions-and-cheating/

Teaは女性専用のデートアドバイスアプリで、男性の顔写真と名前を公開してユーザーと語り合うことができるSNSとして人気を集めていました。ところが、女性であることを証明するために提出された身分証明書や自撮り写真を保管するデータベースが暗号化されていなかったことから、ネットユーザーに見つかり、合計約7万2000枚の顔写真が流出しました。

女性が匿名で男性の写真を投稿し噂話するアプリ「Tea」に4chanのハッカーが侵入、1万3000枚の認証用自撮り写真を含む7万2000枚の画像が大量流出し大炎上 - GIGAZINE

この件を調査し、テクノロジー系メディアの404 Mediaに情報を共有したセキュリティ研究者のカスラ・ラジャーディ氏は、画像だけでなくメッセージ内容も盗み見ることが可能だったと伝えています。

ラジャーディ氏によると、Teaのユーザーは自身のAPIキーを使用してデータベースにアクセスし、本来であれば当事者同士しか閲覧できないはずのプライベートメッセージを盗み見ることが可能だったとのこと。

ラジャーディ氏は実際に110万件を超えるプライベートメッセージにアクセスできたと話し、個人の特定も容易だったと付け加えています。

メッセージには、男性の画像を指して「私がこの人の妻です」と語る内容や、男性の婚約者を名乗る女性が他の女性と連絡を取り合う様子、同じ男性と交際していることがわかった女性同士のやりとりなどが含まれていたそうです。

Teaは実名制ではなく、匿名のIDが用いられますが、ユーザーはメッセージで本名を出したり、あるいは他のSNSのユーザー名や電話番号を公開したりしていたため、それらを組み合わせて個人を特定可能だったとされています。

画像流出事件が起こった直後、Teaは「流出した画像は数年前に保管したものだった」と説明して最近登録した利用者には無関係であることをアピールしましたが、今回発見されたメッセージは直近1週間前までのものも含まれていたため、影響はより広範囲に及ぶとみられます。

404 Mediaはメッセージ内容を確認し、メッセージに含まれていたユーザー名を用いて新規アカウント作成を試行。「ユーザー名は既に使用されている」という理由で作成に失敗したため、メッセージ内容は本物である可能性が高いと結論づけ、「ラジャーディ氏以外もメッセージを見つけていた可能性がある」と指摘しました。

オンライン掲示板「4chan」の活動をきっかけに発生した画像流出の影響はとどまるところを知らず、利用者の顔写真や運転免許証をデータベース化して誰でもアクセス可能にしたり、利用者の住所をマッピングしたり、Facebookの前身とも言える女性格付けサイト「Facemash」を模したサイトを構築したりとさまざまです。

Teaの広報担当者は「私たちは事件の拡大防止に迅速に対応しており、外部サイバーセキュリティ企業との協力のもと、全面的な調査を開始しました。また、法執行機関にも連絡を取り、調査に協力しています。調査が初期段階にあるため、現時点では追加の情報をお伝えできません」と伝えています。