Frauen-Dating-Sicherheits-App "Tea" gehackt, Nutzerdaten auf 4chan geleakt

 (404media.co)
2 Punkte von GN⁺ 2025-07-26 | 1 Kommentare | Auf WhatsApp teilen
  • Die Datenbank der Frauen-Sicherheits-Dating-App "Tea" war offengelegt, wodurch Tausende Nutzer-Gesichtsfotos und Ausweisdaten auf 4chan geleakt wurden
  • Die Datenbank war ohne Authentifizierung in Google Firebase öffentlich zugänglich, und 4chan-Nutzer luden sie mithilfe automatisierter Skripte in großem Umfang herunter
  • Tea hat mehr als 1,6 Millionen Nutzerinnen und Nutzer und verlangt für die Nutzerverifizierung das Hochladen von Selfies und Ausweisdokumenten
  • 404 Media bestätigte durch Dekompilierung des Tea-App-Codes, dass die betreffende Speicher-URL tatsächlich existiert
  • Tea reagierte weder auf Anfragen der Presse noch von Google; der ursprüngliche Beitrag wurde gelöscht, doch Archive und Folgebeiträge bestätigten weiter die Anzeichen des Leaks

Überblick über den Datenvorfall bei der Tea-App

Offengelegter Firebase-Speicher

  • Die Google-Firebase-Datenbank der Tea-App war ohne Authentifizierung öffentlich zugänglich und damit für jede Person erreichbar
  • 4chan-Nutzer entdeckten diese Schwachstelle und luden Tausende Datensätze mit persönlichen Informationen und Selfies herunter
  • Die Daten wurden mithilfe automatisierter Skripte gesammelt, und entsprechende Skripte wurden in den Beiträgen ebenfalls geteilt

Geleakte Informationen

  • Es wurde bestätigt, dass Gesichtsfotos von Nutzern, Scans von Führerscheinen, Geburtsdaten, Standortinformationen und mehr enthalten waren
  • In einem 4chan-Thread hieß es zusammen mit der Formulierung explizite und unzensierte Bilder, dass Tausende Dateien gesammelt worden seien
  • Die Beiträge verbreiteten sich mit dem Satz: „Wenn du dein Gesicht und deinen Führerschein in die Tea-App hochgeladen hast, wurdest du jetzt öffentlich gedoxt.“

Überprüfung der App-Struktur und Verifizierungsprozess

  • Die Tea-App verlangt bei der Registrierung Benutzername, Standort, Geburtsdatum, Gesichtsfoto und Ausweisfoto
  • 404 Media dekompilierte die Android-Version der App und bestätigte, dass die Firebase-Speicher-URL tatsächlich im Code enthalten war
  • Im Verifizierungsprozess ist das Hochladen eines Selfies zur Feststellung, ob die Person eine Frau ist, erforderlich; die Wartezeit kann dabei bis zu 17 Stunden betragen

Hintergrund des Wachstums der Tea-App

  • Nach dem Start im Jahr 2023 stieg die App zuletzt in den US-App-Store-Charts stark auf, begleitet von schnellem Nutzerwachstum
  • Ähnlich wie Facebook-Gruppen wie „Are We Dating the Same Guy?“ bietet die App die Funktion, dass Frauen anonym Erfahrungen über Männer teilen können
  • Auf der App-Seite steht der Satz: „Fragen Sie unsere Community. Wir helfen Ihnen herauszufinden, ob er sicher ist oder fremdgeht.“

Unzureichende Reaktion

  • Die Tea-App und ihr Gründer Sean Cook reagierten weder auf Presseanfragen noch auf Direktnachrichten
  • Ein Nutzer meldete das Problem auch an Google, doch ob darauf reagiert wurde, ist unklar
  • Die geleakte Firebase-Seite ist inzwischen nicht mehr zugänglich und zeigt nun den Fehler „Permission denied“ an

Sorge über die Sicherheitslücke

  • Obwohl der Dienst äußerst sensible Nutzerdaten speichert, war nicht einmal eine grundlegende Authentifizierung konfiguriert
  • Der Vorfall gilt als typisches Beispiel dafür, wie eine App, die sensible Informationen verlangt, durch Sicherheitsvernachlässigung ein Leak im großen Maßstab auslöst
  • Es ist zu erwarten, dass die Marke Tea als vertrauensbasierte, nur für Frauen gedachte Sicherheits-Community erheblich beschädigt wird

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-26
Hacker-News-Kommentare

  • Kann unter dem archive.today-Link angesehen werden

    • Es ist irgendwie amüsant, Websites, die eine Nutzerverifizierung verlangen, als „freewalled“ zu bezeichnen

  • Diese App ist im Grunde fast genau dasselbe Konstrukt wie Peeple, nur in einer Version, die den Beitritt auf Frauen beschränkt. Peeple ist gescheitert, weil sich Vorurteile und üble Nachrede nie zu 100 % verhindern lassen. Wenn jemand aus Eifersucht eine andere Person schlechtmacht und das als Tatsache veröffentlicht, kann das dem Betroffenen bei Jobsuche oder Dating schaden. Deshalb wurde es von VCs und dem ganzen Internet verspottet und schließlich eingestellt. Ich frage mich ernsthaft, wie Tea legal sein kann; es wirkt wie eine legalisierte Verleumdung mit Zeitzünder

    • Verleumdung (üble Nachrede oder Beleidigung) liegt nur vor, wenn etwas unwahr ist oder so dargestellt wird, dass es direkt als Tatsache missverstanden werden kann. Es muss entweder einen realen, nachweisbaren Schaden verursachen oder einen Schaden, der rechtlich bereits als solcher gilt. „Der Typ ist creepy und behandelt seine Partnerin schrecklich“ ist bloß eine Meinung. Damit eine Meinung verleumderisch wird, müsste sie konkrete und falsche Tatsachen enthalten, etwa: „Ich denke das über ihn, weil ich folgende Dinge beobachtet habe.“ „Ich habe das Gefühl, der Typ jagt gern“ ist keine Verleumdung. Nach US-Recht haften App-Betreiber fast nie für verleumderische Inhalte, die Nutzer posten. Man müsste speziell nachweisen, dass der Dienst zu bestimmten Inhalten angestiftet hat, und in der Praxis dürften App-Entwickler diese Schwelle kaum überschreiten
    • In der Praxis wirken solche Apps eher wie geeignete Werkzeuge für Personen mit kriminellen Neigungen oder böswillige Nutzer, um andere zu verfolgen und zu manipulieren. Sie behaupten, der Sicherheit zu dienen, aber tatsächlich ist das unbegründet
    • Wenn Tea illegal wäre, dann müssten Glassdoor, Yelp, Google Reviews usw. ebenfalls alle illegal sein. Die gleiche Logik würde auch für Identitätsprüfungen im Bewerbungsprozess gelten
    • Es heißt zwar, Peeple sei gescheitert, weil Vorurteile und üble Nachrede nicht zu verhindern waren, aber zynisch betrachtet würde doch niemand so eine App nutzen, wenn es genau das nicht gäbe
    • Ich denke, auch Tea genießt wie andere soziale Medien die Haftungsfreistellung nach Section 230

  • Ich finde, Unternehmen ohne direkten Bezug zu Finanzdienstleistungen sollten keine staatlich ausgestellten Ausweisdokumente verlangen dürfen. Dasselbe gilt für Facebook. Wegen solcher Apps sind am Ende Zehntausende dem Risiko von Identitätsdiebstahl ausgesetzt. Als Growth-Hacking-Idee ist das viel zu unethisch

    • Es wäre gut, wenn Apple oder Google Entwicklern eine sichere Know-Your-Customer-API bereitstellen würden. Dann könnte eine App nur die Informationen abrufen, denen der Nutzer zugestimmt hat, und viele Apps könnten das verwenden. Vielleicht existiert so etwas schon, aber Tea scheint es jedenfalls nicht genutzt zu haben

  • Jetzt ist der richtige Zeitpunkt, über Richtlinien nachzudenken, die auf so gravierende Sicherheitsverletzungen reagieren (anscheinend war auch das Datenspeichersystem von Tea völlig ungeschützt)

    • Bei der App-Store-Zulassung sollte die Prüfung einer Server-Sicherheits-Checkliste verpflichtend sein
    • Es sollte einen Kill-Switch für die Entfernung aus dem App Store geben, bei dem der Publisher ein geheimes Token an Apple hinterlegt und die App sofort entfernt werden kann, wenn dieses Token kompromittiert wird
    • App-Publisher sollten verpflichtet werden, selbst sensible persönliche Daten (z. B. Zugriffsdaten zu einem Hauptbankkonto) gemeinsam mit den Verbraucherdaten im Backend zu speichern
      • Unternehmen sollten bei Sicherheitsvorfällen gesetzlich zu echtem Schadensersatz verpflichtet sein. Der einzige Weg, Unternehmen dazu zu bringen, Sicherheit ernst zu nehmen, sind finanzielle Nachteile. Hier war es nicht einmal das Werk extrem fähiger Hacker, sondern schlicht eine öffentliche Freigabe für alle
      • Aus Nutzersicht ist es eigentlich gesunder Menschenverstand, kein Gesichtsbild und keinen Führerschein in eine Lästerei-App hochzuladen. Früher war es selbstverständlich, den echten Namen außerhalb beruflicher Zwecke nicht offenzulegen. Egal, was das System sagt: Die letzte Verantwortung liegt beim Nutzer. Das Betriebssystem kann noch so viel schützen, aber nicht das eigene Verhalten verhindern
      • In diesem Fall ging es einfach um einen öffentlich zugänglichen Firebase-Bucket, und das Sperren der App löst das Problem nicht. Vielleicht lief alles über ein separates Backend dazwischen, aber Apple kann dessen Sicherheit nicht beurteilen
      • Der Vorschlag, dass Publisher ihre eigenen personenbezogenen Daten im Backend mit ablegen müssen, ist originell. So etwas wie eine verpflichtende MY_PERSONAL_INFO-Tabelle in jeder Admin-Datenbank
      • Ich bin dagegen, App-Reviewern noch mehr Macht zu geben. Schon jetzt werden Apps oft ohne nachvollziehbaren Grund abgelehnt, und überhaupt herauszufinden, warum, ist extrem zermürbend

  • Ich frage mich, warum Bilder von Führerscheinen nach Abschluss der Verifizierung auch nur einen Moment länger gespeichert wurden

    • Dafür sollte es massive Bußgelder geben. Solches Verhalten wiederholt sich, weil es keine ernsthaften Strafen gibt. Es sollten mindestens 10 % des Umsatzes als Strafe fällig werden, und in wirklich schweren Fällen nicht nur die juristische Person, sondern auch die tatsächlichen Anteilseigner persönlich mit ihrem Vermögen haften, damit Verbraucherschutz real wird
    • Eine App, die mit personenbezogenen Daten so umgeht, ist zugleich so gebaut, dass Nutzer auch Fotos anderer Personen (egal ob mit Zustimmung oder ohne) und dazu noch Lästereien hochladen können. Ein Dienst, dem Privatsphäre offensichtlich egal ist
    • Ohne irgendeinen Beleg frage ich mich, was überhaupt das Geschäftsmodell dieser App ist. Vielleicht wollte man mit Führerschein- und Telefonnummerndaten Geld verdienen
    • Das ist die Realität von vibe coding
    • Laut anderen Berichten lag die Warteschlange für die Verifizierung neuer Konten bei über 17 Stunden. Wahrscheinlich haben die 4chan-Nutzer Bilder aus dieser Verifizierungswarteschlange abgegriffen

  • Wenn jemand mit LLMs Fake-Profile erstellt und die Aktivität automatisiert, dann haben solche Nutzerdaten keinerlei Verlässlichkeit oder Nutzen. Führerscheine lassen sich fälschen, und man kann mit einem echten Führerschein auch so tun, als wäre man jemand anders. Der Dienst von Tea selbst, seine Umsetzung und seine Prozesse sind Konstruktionsfehler und für die Entwickler ein rechtliches Risiko

    • Hoffentlich ist das eine Lehre, beim Einreichen sensibler Informationen vorsichtiger zu sein. Nur weil eine App hübsch aussieht oder man nicht weiß, wer dahintersteht, sollte man nicht leichtfertig einen Ausweis einreichen. Ich habe früher mit einer kanadischen Behörde gearbeitet; als sie meinen Ausweis per E-Mail wollten, schickte ich stattdessen einen verschlüsselten Link, was abgelehnt wurde, sodass ich am Ende persönlich vorbeigehen musste. Es ist verrückt, dass das Internet sich in zehn Jahren von „Benutz auf YouTube nicht deinen Klarnamen“ zu „Gib irgendeiner App deinen Ausweis“ entwickelt hat
    • Wenn mein Führerschein geleakt wird und ein Stalker bei mir zu Hause auftaucht, schicke ich ihn einfach wieder weg, weil sein Führerschein ja offensichtlich gefälscht sein muss
    • Ich denke, Führerscheine zu fälschen oder sich auf den Namen einer anderen Person zu registrieren, ist in der Praxis ziemlich schwierig. Ich kenne jedenfalls niemanden, der seinen Führerschein einer anderen Person leihen würde

  • Ich bin überzeugt, dass in jedem IT-Startup mindestens eine Person einen technischen Hintergrund haben sollte. Selbst wenn man alles auslagert, muss man wenigstens sicherheitsbezogene Fragen selbst stellen können. Das Problem war nicht nur, dass die Datenbank irgendwie im Internet erreichbar war, sondern dass sie tatsächlich komplett offenstand. Dass dort die Ausweise von Leuten in einer öffentlichen Datenbank gespeichert wurden, ist schlicht schockierend

    • Inzwischen gibt es die Stimmung, dank vibe-coding-Tools brauche man keine technische Kompetenz mehr, Hauptsache, das Ergebnis wird geliefert. LinkedIn-Influencer und Gründer würden nur auf Resultate schauen und nicht darauf, wie ausgeliefert oder betrieben wird. Jetzt, da wir erkannt haben, dass die Behandlung von IT und Sicherheit als Kostenfaktor, den man minimieren müsse, nicht zum bestmöglichen Sicherheitsresultat führt, droht wieder, dass alle alles hinschmeißen und sich nur noch über andere sorgen
    • Tatsächlich gibt es weit über Hunderttausende öffentliche Firebase-Datenbanken ohne Authentifizierung. Selbst Fortune-500-Unternehmen sind betroffen; die ungeschützte Exponierung ist gravierend [BleepingComputer-Artikel]
    • Technische Kompetenz allein reicht nicht aus. Ein Sicherheitsbackground ist zwingend nötig. Einige der schlimmsten Personen, die ich im Sicherheitsbereich erlebt habe, waren technisch sehr selbstsicher, hatten aber keinerlei Sicherheitsverständnis
    • Ärzte, Anwälte und Architekten studieren fünf bis acht Jahre oder länger und legen Prüfungen ab. Auch die IT wird in einigen Jahrzehnten wohl gesetzlich reguliert sein. Bisher war vieles frei und spielerisch, aber weil künftig alles von IT abhängt, wird es sehr streng werden

  • In den Medien wurde zwar von einem „Datenleck“ gesprochen, tatsächlich war es aber eine offengelegte Datenbank. In solchen Fällen braucht es einen präziseren Titel. In der Überschrift sollte das Versagen des Betreibers stärker betont werden als die Rolle der Hacker

    • „Leak“ ist hier die falsche Wortwahl. Es klingt so, als sei kürzlich eingebrochen worden, dabei konnte seit dem Start der App jeder darauf zugreifen und es wurde erst heute bekannt. Das ist sogar noch schlimmer
    • Meiner Erfahrung nach haben Artikel von 404media oft nicht die Qualität, die für HN reicht

  • In Zeiten, in denen Staaten und Kommunen die Identitätsprüfung immer weiter verschärfen, zeigt dieser Vorfall sehr gut, warum das schlimme Folgen haben kann

    • Stimme vollkommen zu

  • „Das Wort ‚Sicherheit‘ spielt im Titel eine viel zu große Rolle; in Wirklichkeit ist es einfach eine Lästerei-App“