여성 데이팅 안전 앱 "Tea" 해킹, 사용자 정보가 4chan에 유출됨

1 day ago 3

여성 안전 데이팅 앱 'Tea'의 데이터베이스가 노출되어 수천 명의 사용자 얼굴 사진과 신분증 정보가 4chan에 유출됨
해당 DB는 Google Firebase에 인증 없이 공개되어 있었으며, 4chan 사용자들이 자동화 스크립트를 이용해 대규모로 다운로드
Tea는 1.6백만 명 이상의 사용자를 보유하며, 사용자 인증을 위해 셀카와 신분증 업로드를 요구
404 Media는 Tea 앱의 코드 디컴파일을 통해 문제의 저장소 URL이 실제 존재함을 확인
Tea 측은 언론이나 Google의 문의에 응답하지 않음, 원 게시글은 삭제됐지만 아카이브와 후속 게시글에서 유출 정황 계속 확인됨

Tea 앱 데이터 유출 사고 개요

노출된 Firebase 저장소

Tea 앱의 Google Firebase 데이터베이스가 인증 없이 공개 상태였으며, 누구나 접근 가능했음
4chan 사용자들이 이 취약점을 발견해 개인 정보 및 셀카 사진 수천 건을 다운로드함
데이터는 자동화된 스크립트를 이용해 수집되었으며, 관련 스크립트도 게시글에서 공유됨

유출된 정보

사용자 얼굴 사진, 운전면허증 스캔본, 생년월일, 위치 정보 등이 포함된 것으로 확인됨
4chan 스레드에는 적나라하고 검열되지 않은 이미지라는 표현과 함께, 수천 건의 자료가 수집됐다는 언급이 있었음
게시글은 “Tea 앱에 얼굴과 운전면허증을 업로드했다면, 지금 공개적으로 도크싱된 것”이라는 문구로 확산됨

앱 구조 확인 및 인증 절차

Tea 앱은 회원가입 시 사용자 이름, 위치, 생년월일, 얼굴 사진, 신분증 사진을 요구함
404 Media는 Android 버전 앱을 디컴파일하여, 실제로 Firebase 저장소 URL이 코드에 포함되어 있음을 확인함
인증 절차로는 여성 여부를 판단하기 위한 셀카 업로드가 요구되며, 대기 시간이 최대 17시간까지 발생하기도 함

Tea 앱의 성장 배경

2023년 출시 후, 최근 미국 앱스토어 상위권에 오르며 사용자 급증
앱은 ‘Are We Dating the Same Guy?’ 같은 Facebook 그룹과 유사하게, 여성이 남성에 대한 경험을 익명으로 공유하는 기능 제공
앱 페이지에는 “우리 커뮤니티에 물어보세요. 그 남자가 안전한지, 바람피우는 중은 아닌지 확인해 드립니다”라는 문구가 있음

대응 미흡

Tea 앱과 설립자인 Sean Cook은 언론 및 개인 메시지에 응답하지 않음
Google 측에도 한 유저가 문제를 제보했으나 대응 여부는 불분명함
유출된 Firebase 페이지는 현재는 접근이 차단되어 “Permission denied” 오류가 뜨는 상태임

보안 허점에 대한 우려

사용자의 매우 민감한 정보가 저장되는 서비스임에도 불구하고 기본적인 인증 설정조차 되어 있지 않음
민감한 정보를 요구하는 앱이 보안 태만으로 인해 대규모 유출 사태를 유발한 전형적인 사례로 지적됨
신뢰 기반의 여성 전용 안전 커뮤니티로서의 Tea 앱 브랜드가 큰 타격을 입을 것으로 보임

Read Entire Article