世界を動かす技術を、日本語で。

女性向けデーティング安全アプリ「Tea」が侵害され、ユーザーのIDが4chanに投稿される

2025年7月26日原文(404media.co)

概要

Tea という女性向け安全対策アプリの Firebaseデータベース が無防備に公開され、 4chanユーザー が個人情報を閲覧・拡散。 自撮り写真や運転免許証 などの機密データが流出。 Tea は流出を認め、2年前のデータが対象と説明。 App Store上位 の人気アプリで、160万ユーザーを抱える。 アプリの女性認証機能が プライバシーリスク となった事例。

TeaアプリのFirebaseデータベース流出事件

  • Tea は女性が男性の情報を共有し安全を守るための 人気アプリ
  • Firebase のデータベースが 認証なしで公開 されていた事実
  • 4chanユーザー がこの脆弱性を発見し、個人情報を 不正閲覧・拡散
  • スクリーンショットやコード が、404 MediaやRedditで 証拠として共有
  • 自撮り写真運転免許証 など、 本人確認用データ も流出
  • 一部 ダイレクトメッセージ も流出対象
  • Tea側は声明 で「2年前のデータ」と説明
  • 1.6百万ユーザー、App Storeで 高評価・レビュー多数
  • 女性認証のための自撮り提出 が逆に プライバシーリスク
  • 「無認証・公開バケット」 として4chanで拡散される危険性
  • 「送信した顔写真や免許証が公開された」 と4chanで警告
  • 法的・社会的影響、個人情報保護意識の重要性浮き彫り

参考リンク・追加情報

今回の事例から得られる教訓

  • クラウドデータベースアクセス制御 の徹底
  • 本人確認用データ厳重な管理 の必要性
  • 新興アプリ 利用時の プライバシーリスク認識
  • ユーザーへの迅速な通知被害最小化対応 の重要性
  • 情報共有プラットフォームセキュリティ設計 再考

Hackerたちの意見

このユーザーデータは、誰かが偽のペルソナを作ってLLMで活動を埋めることができるのに、どうして信頼できるの?運転免許証も偽造できるし、実際の運転免許証を持っている誰かがこのアプリで他の人になりすますこともできる。Teaというソーシャルメディアアプリの全体的な前提、実装、プロセスは欠陥だらけで、開発者にとって法的なリスクになってるよ。

一般の人にとって、政府のIDみたいな敏感な情報を提出する際にもっと慎重になる良い教訓になったらいいな。見た目が良いUIのアプリだからって、安全だとは限らないし、誰が運営してるかも信頼できるとは限らない。先週、カナダの政府機関に連絡したら、サポートチームがメールで政府のIDを共有するように求めてきたんだけど、それって全然安全なコミュニケーションじゃないよね。自分のボールトへのリンクを共有しようとしたけど、拒否されたから、今は直接行くか、別の方法を見つけるしかない。インターネットは「YouTubeがユーザーに本名を使わないようにお願いする」から、「ランダムなアプリにIDを提出しなきゃいけない」に10年で変わった。クレイジーだよね!

もし私の免許証が漏れて、ストーカーが家に現れたら、免許証が偽造されてないと考えるのは論理的じゃないって理由で追い返すよ。

運転免許証も偽造できるし、実際の運転免許証を持っている誰かがこのアプリで他の人になりすますこともできる。実際、これをやるのはかなり難しいよ。私のために免許証を使わせてくれる人なんて知らないし。

http://archive.today/U5Tah Freewalled

フリーワールド、いいね!

なんで運転免許証の画像を、ユーザーを確認するのにかかった時間以上に保存する必要があるの?

それはすべきじゃないけど、どうやらこのアプリはゴシップアプリみたいで、他の人の写真を(許可があろうとなかろうと)保存してゴシップしてるみたい。プライバシーを大事にしてない感じだね。

別のメディアの報道によると、新しいアカウントの認証待ち時間は17時間もあったらしい。4channersが得たのはその認証待ち時間だった可能性があるね。

これだね。適切な規制があれば、これを大きな罰金で罰せられる犯罪にすべきだと思う。企業には悪い行為に対するほとんど影響がないから。理想を言えば、売上の10%くらいの罰金が見られるべきだよ。ひどいケース(重大な過失)では、LLCを超えて株主の個人資産から回収できるべきだね。ああ、消費者保護があればいいのに。

これが「バイブコーディング」の成果だよね!

これって基本的にPeepleの女性版じゃない?Peepleは、誰かに対する偏見やゴシップを排除できなかったから失敗したんだよね。例えば、誰かが他の人に嫉妬してたら、その人は証拠もなしに虚偽の中傷を書いて、本物だと主張できちゃう。それが被害者の仕事やデートに影響を与えたかもしれないから、VCやオンラインの皆に笑われて、結局閉鎖された。Teaはどうして合法なの?これって法的名誉毀損の時限爆弾みたいなもんじゃないの?

Hacker Newsで議論の続きを見る