Lỗ hổng dữ liệu của ứng dụng Tea đã phơi bày 72.000 tệp và 1,1 triệu tin nhắn riêng tư, làm nổi bật những nguy hiểm của việc lưu trữ ID tập trung và nhu cầu về các hệ thống phi tập trung để bảo vệ người dùng.
Kee Jefferys, đồng sáng lập của ứng dụng nhắn tin phi tập trung Session, đã chia sẻ quan điểm của mình về vụ rò rỉ dữ liệu gần đây của ứng dụng Tea, giải thích cách sự cố này làm nổi bật những nguy hiểm của việc lưu trữ ID tập trung và tại sao các hệ thống phi tập trung lại phù hợp hơn để bảo vệ người dùng.
Tea, ứng dụng được thiết kế cho phụ nữ với lời hứa mang đến trải nghiệm hẹn hò an toàn hơn, đã đóng cửa hệ thống nhắn tin của mình sau một trong những vụ rò rỉ dữ liệu lớn nhất trong năm. Những gì bắt đầu như một nền tảng lan truyền để giúp phụ nữ nhận diện những người đàn ông có thể nguy hiểm đã kết thúc với hàng triệu cuộc trò chuyện riêng tư và tài liệu ID bị chia sẻ trên các diễn đàn rò rỉ.
Lỗ hổng, được tiết lộ vào cuối tháng Bảy, đã ảnh hưởng đến người dùng tham gia trước tháng Hai năm 2024. Ít nhất 72.000 tệp đã bị lộ, bao gồm cả giấy tờ tùy thân của chính phủ mà công ty đã hứa sẽ xóa sau khi xác minh. Thêm vào đó, hơn 1,1 triệu tin nhắn cá nhân đã bị xâm phạm, từ những cuộc trò chuyện hàng ngày đến những cuộc thảo luận cực kỳ nhạy cảm về lạm dụng và sức khỏe.
Các chuyên gia an ninh cho biết sự sụp đổ là điều không thể tránh khỏi. Kee Jefferys chỉ ra rằng các hệ thống thu thập và tập trung các thông tin cá nhân tạo ra mục tiêu cuối cùng. Khi một cơ sở dữ liệu chứa các ID, ảnh tự chụp và siêu dữ liệu chưa mã hóa, những kẻ tấn công chỉ cần xâm nhập một lần để truy cập mọi thứ.
Từ Lời Hứa Đến Sự Tiết Lộ
Tea đã trở nên phổ biến bằng cách cung cấp công cụ để tìm kiếm hình ảnh ngược của các hồ sơ hẹn hò, thực hiện kiểm tra lý lịch và tạo ra một không gian được cho là an toàn cho phụ nữ. Tuy nhiên, sự phụ thuộc vào việc xác minh ID bằng ảnh tự chụp là một lỗi cơ bản.
Theo các nhà điều tra, vụ rò rỉ đầu tiên xảy ra khi một thùng lưu trữ không được bảo mật, được thiết lập rõ ràng cho các yêu cầu tuân thủ, đã bị để lộ. Các tệp mà lẽ ra phải bị xóa vẫn có thể truy cập và đã bị sao chép nhanh chóng. Vài ngày sau, một lỗ hổng riêng biệt cho phép kẻ tấn công tải xuống toàn bộ kho lưu trữ tin nhắn hàng loạt, mà không có bất kỳ giới hạn nào về tốc độ hoặc mã hóa nào để làm chậm họ lại.
Những gì được bán như một biện pháp bảo vệ lại cung cấp cho những kẻ lạm dụng tiềm năng một bản đồ chi tiết về các tương tác của người dùng, kèm theo thời gian và dữ liệu vị trí.
Tại sao Sự tập trung lại thất bại?
Lấy ví dụ như trường hợp Tea. Nó nhấn mạnh những vấn đề đang diễn ra với các hệ thống tập trung: lưu trữ thông tin nhạy cảm vô thời hạn, dựa vào các điểm thất bại đơn lẻ và thiếu mã hóa mạnh. Khác với mật khẩu, dữ liệu sinh trắc học như khuôn mặt không thể dễ dàng thay đổi nếu bị rò rỉ. Những bức ảnh tự chụp bị đánh cắp có thể được sử dụng cho việc đánh cắp danh tính, deepfake hoặc thiết lập các tài khoản giả.
Jefferys lưu ý rằng ngay cả khi dữ liệu được mã hóa khi lưu trữ, điều đó cũng không có nhiều tác dụng nếu các khóa mã hóa được lưu trữ cùng nó. Thông tin "ai, khi nào và ở đâu" của các cuộc trò chuyện kỹ thuật số, được gọi là siêu dữ liệu, vẫn đặc biệt dễ bị tổn thương trước những người cố gắng tránh sự giám sát hoặc quấy rối.
Có thể làm khác đi điều gì?
Các thiết kế thay thế tồn tại có thể đã ngăn chặn một sự sụp đổ như vậy:
Bằng chứng không kiến thức có thể xác minh tuổi hoặc giới tính mà không cần giữ ảnh nhạy cảm.
Các mạng phi tập trung có thể phân phối dữ liệu qua các nút, loại bỏ một phần thưởng duy nhất cho kẻ tấn công.
Mã hóa đầu cuối có thể giữ cho các tin nhắn không thể đọc được ngay cả đối với các máy chủ chuyển tiếp chúng.
Theo Jefferys, việc áp dụng những nguyên tắc này sẽ khiến cho việc tấn công để lấy dữ liệu có ý nghĩa trở nên khó khăn hơn rất nhiều. Thay vì một cuộc vi phạm phơi bày mọi thứ, nhiều rào cản phi tập trung sẽ phải bị phá vỡ cùng một lúc.
Thời gian để các nhà quản lý hành động
Lập luận của Tea, trích dẫn việc giữ lại ID cho các cuộc điều tra tiềm năng, cho thấy một khoảng trống chính sách rộng hơn. Các cơ quan quản lý ngày càng yêu cầu xác minh ID kỹ thuật số nhưng hiếm khi thực thi các quy tắc xóa nghiêm ngặt hoặc các biện pháp bảo vệ phi tập trung. Nếu không có những biện pháp này, các ứng dụng mới có thể lặp lại những sai lầm trong quá khứ dưới vỏ bọc an toàn.
Sự sụp đổ của Tea minh họa cách niềm tin có thể nhanh chóng tan biến khi thông tin cá nhân bị xử lý sai. Các nền tảng tập trung vào an toàn không thể chỉ dựa vào những lời hứa. Trừ khi họ từ bỏ việc lưu trữ ID tập trung và áp dụng các thiết kế tập trung vào quyền riêng tư, họ có nguy cơ trở thành nơi trú ẩn ít hơn cho phụ nữ và nhiều hơn là một bản thiết kế cho những kẻ muốn gây hại cho họ.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cuộc tấn công dữ liệu Tea biến sự an toàn của phụ nữ thành sân chơi của các Hacker
Tóm tắt
Lỗ hổng dữ liệu của ứng dụng Tea đã phơi bày 72.000 tệp và 1,1 triệu tin nhắn riêng tư, làm nổi bật những nguy hiểm của việc lưu trữ ID tập trung và nhu cầu về các hệ thống phi tập trung để bảo vệ người dùng.
Kee Jefferys, đồng sáng lập của ứng dụng nhắn tin phi tập trung Session, đã chia sẻ quan điểm của mình về vụ rò rỉ dữ liệu gần đây của ứng dụng Tea, giải thích cách sự cố này làm nổi bật những nguy hiểm của việc lưu trữ ID tập trung và tại sao các hệ thống phi tập trung lại phù hợp hơn để bảo vệ người dùng.
Tea, ứng dụng được thiết kế cho phụ nữ với lời hứa mang đến trải nghiệm hẹn hò an toàn hơn, đã đóng cửa hệ thống nhắn tin của mình sau một trong những vụ rò rỉ dữ liệu lớn nhất trong năm. Những gì bắt đầu như một nền tảng lan truyền để giúp phụ nữ nhận diện những người đàn ông có thể nguy hiểm đã kết thúc với hàng triệu cuộc trò chuyện riêng tư và tài liệu ID bị chia sẻ trên các diễn đàn rò rỉ.
Lỗ hổng, được tiết lộ vào cuối tháng Bảy, đã ảnh hưởng đến người dùng tham gia trước tháng Hai năm 2024. Ít nhất 72.000 tệp đã bị lộ, bao gồm cả giấy tờ tùy thân của chính phủ mà công ty đã hứa sẽ xóa sau khi xác minh. Thêm vào đó, hơn 1,1 triệu tin nhắn cá nhân đã bị xâm phạm, từ những cuộc trò chuyện hàng ngày đến những cuộc thảo luận cực kỳ nhạy cảm về lạm dụng và sức khỏe.
Các chuyên gia an ninh cho biết sự sụp đổ là điều không thể tránh khỏi. Kee Jefferys chỉ ra rằng các hệ thống thu thập và tập trung các thông tin cá nhân tạo ra mục tiêu cuối cùng. Khi một cơ sở dữ liệu chứa các ID, ảnh tự chụp và siêu dữ liệu chưa mã hóa, những kẻ tấn công chỉ cần xâm nhập một lần để truy cập mọi thứ.
Từ Lời Hứa Đến Sự Tiết Lộ
Tea đã trở nên phổ biến bằng cách cung cấp công cụ để tìm kiếm hình ảnh ngược của các hồ sơ hẹn hò, thực hiện kiểm tra lý lịch và tạo ra một không gian được cho là an toàn cho phụ nữ. Tuy nhiên, sự phụ thuộc vào việc xác minh ID bằng ảnh tự chụp là một lỗi cơ bản.
Theo các nhà điều tra, vụ rò rỉ đầu tiên xảy ra khi một thùng lưu trữ không được bảo mật, được thiết lập rõ ràng cho các yêu cầu tuân thủ, đã bị để lộ. Các tệp mà lẽ ra phải bị xóa vẫn có thể truy cập và đã bị sao chép nhanh chóng. Vài ngày sau, một lỗ hổng riêng biệt cho phép kẻ tấn công tải xuống toàn bộ kho lưu trữ tin nhắn hàng loạt, mà không có bất kỳ giới hạn nào về tốc độ hoặc mã hóa nào để làm chậm họ lại.
Những gì được bán như một biện pháp bảo vệ lại cung cấp cho những kẻ lạm dụng tiềm năng một bản đồ chi tiết về các tương tác của người dùng, kèm theo thời gian và dữ liệu vị trí.
Tại sao Sự tập trung lại thất bại?
Lấy ví dụ như trường hợp Tea. Nó nhấn mạnh những vấn đề đang diễn ra với các hệ thống tập trung: lưu trữ thông tin nhạy cảm vô thời hạn, dựa vào các điểm thất bại đơn lẻ và thiếu mã hóa mạnh. Khác với mật khẩu, dữ liệu sinh trắc học như khuôn mặt không thể dễ dàng thay đổi nếu bị rò rỉ. Những bức ảnh tự chụp bị đánh cắp có thể được sử dụng cho việc đánh cắp danh tính, deepfake hoặc thiết lập các tài khoản giả.
Jefferys lưu ý rằng ngay cả khi dữ liệu được mã hóa khi lưu trữ, điều đó cũng không có nhiều tác dụng nếu các khóa mã hóa được lưu trữ cùng nó. Thông tin "ai, khi nào và ở đâu" của các cuộc trò chuyện kỹ thuật số, được gọi là siêu dữ liệu, vẫn đặc biệt dễ bị tổn thương trước những người cố gắng tránh sự giám sát hoặc quấy rối.
Có thể làm khác đi điều gì?
Các thiết kế thay thế tồn tại có thể đã ngăn chặn một sự sụp đổ như vậy:
Theo Jefferys, việc áp dụng những nguyên tắc này sẽ khiến cho việc tấn công để lấy dữ liệu có ý nghĩa trở nên khó khăn hơn rất nhiều. Thay vì một cuộc vi phạm phơi bày mọi thứ, nhiều rào cản phi tập trung sẽ phải bị phá vỡ cùng một lúc.
Thời gian để các nhà quản lý hành động
Lập luận của Tea, trích dẫn việc giữ lại ID cho các cuộc điều tra tiềm năng, cho thấy một khoảng trống chính sách rộng hơn. Các cơ quan quản lý ngày càng yêu cầu xác minh ID kỹ thuật số nhưng hiếm khi thực thi các quy tắc xóa nghiêm ngặt hoặc các biện pháp bảo vệ phi tập trung. Nếu không có những biện pháp này, các ứng dụng mới có thể lặp lại những sai lầm trong quá khứ dưới vỏ bọc an toàn.
Sự sụp đổ của Tea minh họa cách niềm tin có thể nhanh chóng tan biến khi thông tin cá nhân bị xử lý sai. Các nền tảng tập trung vào an toàn không thể chỉ dựa vào những lời hứa. Trừ khi họ từ bỏ việc lưu trữ ID tập trung và áp dụng các thiết kế tập trung vào quyền riêng tư, họ có nguy cơ trở thành nơi trú ẩn ít hơn cho phụ nữ và nhiều hơn là một bản thiết kế cho những kẻ muốn gây hại cho họ.