אפליקציית Tea, שמאפשרת לנשים לכתוב ביקורות אנונימיות על גברים שיצאו איתם, הודיעה ביום שישי כי חוותה פרצת אבטחה במסגרתה האקרים הצליחו לגשת ל-72,000 תמונות של משתמשות.
דוברת מטעם Tea אישרה ביום שבת כי הייתה "כניסה לא מורשית למערכות שלנו", וכי כ-72,000 תמונות נחשפו – כולל 13,000 תמונות סלפי ותמונות זיהוי שהוגשו לצורכי אימות חשבון, ועוד 59,000 תמונות מתוך פוסטים, תגובות והודעות פרטיות. לדבריה, גויסו מומחי סייבר חיצוניים, והצוות פועל סביב השעון לאבטחת המערכת. החברה הדגישה שלא נחשפו כתובות אימייל או מספרי טלפון, וכי רק משתמשות שנרשמו לפני פברואר 2024 הושפעו מהפריצה.
Tea, שמתגאה בסיסמה "נשים לא צריכות להתפשר על הביטחון שלהן בזמן שהן יוצאות לדייטים", מאפשרת לנשים שעברו תהליך אימות לשתף באופן אנונימי מידע וביקורות על גברים - סוג של גרסה נשית לביקורות גוגל. האפליקציה צברה פופולריות ובפוסט באינסטגרם ציינה כי בשבועות האחרונים יותר מ-2 מיליון נשים ביקשו להצטרף.
בעת יצירת חשבון, המשתמשות מתבקשות לשלוח סלפי לצורכי אימות מגדר. לפי Tea, התמונות נמחקות לאחר אישור החשבון, אך כאמור, 59,000 מהתמונות שנחשפו היו נגישות לצפייה פומבית בפוסטים, תגובות והודעות.
Tea app users on Reddit are furious because their photos are now being spread around behind their backs.
Unbelievable levels of hypocrisy pic.twitter.com/dt1rCQBxZz
האירוע מעורר שאלות חמורות בנוגע לפרטיות ולבטיחות סביב שיתוף תמונות סלפי באפליקציות, כלי שנפוץ גם באפליקציות דייטינג נוספות, ואיך משתמשות יכולות להגן על עצמן.
רייצ'ל טובק, מנכ"לית ומייסדת שותפה של חברת SocialProof Security, אמרה ל-CNN שסלפי הוא "לכאורה תמונה תמימה", אך בשילוב עם תעודת זהות ממשלתית היא יכולה לשמש לפריצת חשבונות בנק ותוכנות נוספות. היא המליצה למשתמשות לשקול הקפאת דירוג האשראי שלהן (מערכת לא רלוונטית לישראל), להשתמש בכלים להסרת פרטים מאתרים שמוכרים דאטה, להפוך את החשבונות ברשתות החברתיות לפרטיים, ולהשתמש במנהל סיסמאות ובאימות דו-שלבי.
Tea אינו השירות הראשון בעולם ההיכרויות שנחשפה בו פרצת אבטחה. בפברואר 2014 נחשפה תקלה טכנית באפליקציית טינדר שאפשרה לחשוף מיקום גיאוגרפי של משתמשים ללא הסכמתם. ביולי 2015 האקרים פרצו לאתר הבגידות Ashley Madison והשיגו מידע אישי של מיליוני משתמשים.
כמה חברות וממשלות נקטו צעדים בעקבות אירועים דומים - למשל טינדר שמציעה תהליך אימות עם תעודה מזהה, או טקסס, שם נחתם במאי חוק המחייב את גוגל ואפל לוודא את גיל המשתמשים בחנויות האפליקציות.
איומי אבטחה נוספים מצד בינה מלאכותית
אבל מאז 2014 עולם ההונאות עבר הרבה - בעיקר התווסף ה-AI שעוזר לנוכלים. ריצ’רד בלך, מנכ"ל שותף בחברת האבטחה XSOC Corp, הזהיר כי תמונות סלפי מהוות "מכרה זהב" למתקפות מונחות בינה מלאכותית – כמו זיופי פנים, מעקפים ביומטריים ויצירת דיפ-פייקים. לדבריו, התמונות שהודלפו עלולות לשמש להונאה ולייצוג שקרי.
בלך המליץ לכל מי שהתמונות שלה נחשפו לעקוב ביתר תשומת לב אחר דוחות האשראי שלה, שכן נתונים ביומטריים הם "לא משהו שפג תוקפו. את לא יכולה פשוט להחליף מספר תעודת זהות או סיסמה", הוא אמר. "יהיה שימוש במידע הזה - אין שאלה בכלל".
Someone created a website where you can rate the users of the hacked feminist doxing app "Tea".
Is this the most chopped userbase of all time? pic.twitter.com/0HwSxWCMnS
זאת בנוסף לשימוש לרעה שעושים משתמשים ברשת בתמונות. יש כבר אדם שיצר אתר ובו ניתן להצביע בין תמונות של הנשים, ממש כפי שפייסבוק היה בתחילת דרכו. ברשת X, גולשים (כמעט כולם גברים) שמחו מהדליפה וניצלו את פרסום התמונות כדי להתבריין על הנשים ולקרוא להן בשמות גנאי. "מישהו מצא שם מישהי מושכת?" ועוד רמיזות על המראה של אותן נשים נכתבו ברשתות החברתיות הרעילות יותר כמו X, רדיט וטלגרם.