Um aplicativo projetado para ajudar mulheres a identificar os “sinais de alerta” dos homens com quem namoram colocou acidentalmente seus usuários em risco. O 404 Media relatou que o Tea foi hackeado por usuários do 4chan na semana passada, resultando na publicação de selfies e carteiras de motorista de suas usuárias, em sua maioria mulheres, no 4chan. Um pesquisador independente do 404 Media descobriu que mensagens entre usuários discutindo infidelidade, aborto e números de telefone pessoais também estão vulneráveis a hackers.
O Tea foi fundado pelo desenvolvedor de software Sean Cook, que disse ter se inspirado para criar uma rede de sussurros anônima após testemunhar as “experiências aterrorizantes” de sua própria mãe com homens. O aplicativo também foi fortemente influenciado pelo surgimento de grupos no Facebook como “Estamos namorando o mesmo cara” e opera em um paradigma semelhante de alertar anedoticamente sobre homens com quem as pessoas namoraram. O aplicativo disparou em popularidade para o primeiro lugar na App Store da Apple na semana passada. O Tea afirma ter mais de 4 milhões de usuários ativos.
Em 25 de julho, 72.000 imagens — incluindo 13.000 selfies e carteiras de motorista, além de outras 59.000 imagens que foram publicadas no aplicativo — foram comprometidas, com muitas sendo baixadas e publicadas publicamente no 4chan. Usuários do 4chan inicialmente postaram imagens de carteiras de motorista de quatro mulheres, redigindo algumas informações pessoais, mas a tempestade de comentários na thread sugeriu que milhares de imagens foram baixadas antes que a empresa estivesse ciente da violação. O Tea disse ao 404 Media que lançou “uma investigação completa com a assistência de empresas externas de cibersegurança” e que estava trabalhando com a aplicação da lei “para ajudar” em sua investigação.
O Tea estava armazenando as informações sensíveis de seus usuários no Firebase, um serviço de armazenamento em nuvem e computação de propriedade do Google. Desde 2023, o Tea não exige mais que os usuários enviem fotos de suas identificações para fins de verificação. Embora a empresa tenha inicialmente insistido que o hack afetou apenas seu banco de dados “legado” e usuários que se inscreveram antes de fevereiro de 2024, de acordo com o pesquisador independente e o conjunto de dados revisado pelo 404 Media, o Tea continua inseguro, muito além do escopo do hack original, e mensagens privadas enviadas até a semana passada estão acessíveis e vulneráveis a novas exposições.
Desde o aumento do uso do Tea entre mulheres, ele atraiu críticas e ira de grupos online chamados de “direitos dos homens”.
Homens que descobriram que apareceram no aplicativo chamaram-no de uma rede “tóxica”. Alguns estão se tornando virais no TikTok e no X, afirmando que as alegações feitas sobre eles são difamatórias e totalmente falsas. “O problema é que as pessoas (especialmente as mulheres) não verão isso como um problema até que a versão masculina do aplicativo seja criada. Eu mereço saber o histórico de DST do meu encontro, contagem de parceiros, etc.”, lê-se em um comentário mais bem avaliado em uma thread no subreddit r/MensRights. Um aplicativo retaliatório apresentando mulheres foi criado logo em seguida, chamado Teaborn, mas foi rapidamente removido após relatos de usuários postando pornografia de vingança.
Vários especialistas em cibersegurança e privacidade de dados chamaram os métodos de armazenamento do Tea, que levaram ao hack inicial, de absolutamente negligentes.
“Esses dados foram originalmente armazenados em conformidade com os requisitos da aplicação da lei relacionados à prevenção do cyberbullying”, afirmou a empresa inicialmente na declaração fornecida ao 404 Media.
Peter Dordal, professor de redes online e segurança na Loyola University em Chicago, disse ao The Verge que acredita que a declaração da empresa — de que estava em conformidade com a lei — é “enganosa” e que a empresa poderia ter feito mais para prevenir esse pesadelo de cibersegurança. “[A declaração] é enganosa em dois pontos: em primeiro lugar, a aplicação da lei não estabelece requisitos; essa é a função do Congresso e das legislaturas estaduais. O Tea não citou o requisito legal real”, disse Dordal. “Em segundo lugar, se houvesse uma necessidade legal legítima de reter essas imagens, elas não deveriam estar acessíveis online; claramente não são necessárias para a atividade comum do site.”
Dordal acrescentou que, embora seja comum que dados de usuários sejam armazenados na nuvem, o Tea deveria ter tomado medidas para garantir que não pudessem ser acessados pelo público. Os termos e condições do Tea também afirmam que ele exclui os dados dos usuários após a verificação, o que aparentemente falhou em fazer.
“O Tea definitivamente teve práticas de segurança negligentes se os relatos atuais forem verdadeiros”, disse Grant Ho, professor assistente na Universidade de Chicago que pesquisa segurança de computadores. “Uma empresa nunca deve hospedar dados privados de usuários em um servidor acessível ao público e, no mínimo, os dados deveriam ter sido armazenados de forma criptografada.”
Andrew Guthrie Ferguson, professor de direito na George Washington University e especialista em vigilância de Big Data, aponta que uma rede de sussurros na internet não está mais protegida como uma rede de sussurros real poderia ser quando opera offline. Seus dados não estão mais sob seu controle.
“O que muda quando é digital e recuperável e salvável e pesquisável é que você perde o controle sobre isso”, disse Ferguson. “Você não pode mantê-lo dentro dos limites de pessoas em quem confia.”