Aplikasi kencan aman untuk perempuan "Tea" diretas, data pengguna bocor ke 4chan

 (404media.co)
2 poin oleh GN⁺ 2025-07-26 | 1 komentar | Bagikan ke WhatsApp
  • Database aplikasi kencan aman untuk perempuan 'Tea' terekspos, dan foto wajah serta informasi identitas milik ribuan pengguna bocor ke 4chan
  • Database tersebut dipublikasikan secara terbuka di Google Firebase tanpa autentikasi, dan pengguna 4chan mengunduhnya dalam skala besar dengan skrip otomatis
  • Tea memiliki lebih dari 1,6 juta pengguna dan mewajibkan unggahan swafoto serta kartu identitas untuk verifikasi pengguna
  • 404 Media mengonfirmasi bahwa URL penyimpanan yang bermasalah benar-benar ada dengan melakukan dekompilasi kode aplikasi Tea
  • Pihak Tea tidak menanggapi pertanyaan dari media maupun Google; postingan awal telah dihapus, tetapi indikasi kebocoran terus terkonfirmasi melalui arsip dan postingan lanjutan

Ringkasan insiden kebocoran data aplikasi Tea

Penyimpanan Firebase yang terekspos

  • Database Google Firebase milik aplikasi Tea terbuka tanpa autentikasi, sehingga bisa diakses siapa saja
  • Pengguna 4chan menemukan celah ini dan mengunduh ribuan data pribadi serta foto swafoto
  • Data dikumpulkan menggunakan skrip otomatis, dan skrip terkait juga dibagikan di postingan tersebut

Informasi yang bocor

  • Dikonfirmasi bahwa data yang bocor mencakup foto wajah pengguna, hasil scan SIM, tanggal lahir, informasi lokasi, dan lain-lain
  • Dalam thread 4chan, ada penyebutan bahwa materi yang dikumpulkan berjumlah ribuan dengan deskripsi gambar eksplisit dan tanpa sensor
  • Postingan tersebut menyebar dengan kalimat, “Jika Anda mengunggah wajah dan SIM ke aplikasi Tea, maka sekarang Anda telah didoxxing secara publik”

Konfirmasi struktur aplikasi dan prosedur verifikasi

  • Saat mendaftar, aplikasi Tea meminta nama pengguna, lokasi, tanggal lahir, foto wajah, dan foto identitas
  • 404 Media mendekompilasi versi Android aplikasi tersebut dan memastikan bahwa URL penyimpanan Firebase memang tercantum di dalam kode
  • Sebagai bagian dari proses verifikasi, pengguna diminta mengunggah swafoto untuk menentukan apakah mereka perempuan, dan waktu tunggu bisa mencapai 17 jam

Latar belakang pertumbuhan aplikasi Tea

  • Setelah diluncurkan pada 2023, aplikasi ini baru-baru ini naik ke peringkat atas App Store di AS dan mengalami lonjakan pengguna
  • Mirip dengan grup Facebook seperti 'Are We Dating the Same Guy?', aplikasi ini menyediakan fitur bagi perempuan untuk berbagi pengalaman tentang laki-laki secara anonim
  • Di halaman aplikasi tertulis, “Tanyakan kepada komunitas kami. Kami akan membantu memeriksa apakah pria itu aman atau sedang selingkuh”

Respons yang minim

  • Aplikasi Tea dan pendirinya, Sean Cook, tidak menanggapi media maupun pesan pribadi
  • Seorang pengguna juga melaporkan masalah ini ke Google, tetapi tidak jelas apakah ada tindak lanjut
  • Halaman Firebase yang bocor kini sudah diblokir dan menampilkan error “Permission denied”

Kekhawatiran atas celah keamanan

  • Meski layanan ini menyimpan informasi pengguna yang sangat sensitif, bahkan pengaturan autentikasi dasar pun tidak diterapkan
  • Ini dinilai sebagai contoh klasik aplikasi yang meminta data sensitif tetapi memicu kebocoran massal akibat kelalaian keamanan
  • Citra merek Tea sebagai komunitas aman khusus perempuan yang berbasis kepercayaan diperkirakan akan terdampak besar

Bacaan terkait

1 komentar

 
GN⁺ 2025-07-26
Komentar Hacker News

  • Bisa dilihat di tautan archive.today

    • Cukup lucu juga bahwa situs yang memerlukan verifikasi pengguna disebut sebagai freewalled

  • Secara dasar, aplikasi ini hampir sama persis dengan Peeple, hanya saja versinya dibatasi agar hanya perempuan yang bisa mendaftar. Peeple gagal karena tidak mungkin memblokir prasangka dan gibah 100%. Jika seseorang iri lalu memfitnah orang lain dan mengunggahnya seolah-olah itu fakta, korbannya bisa terkena dampak dalam pekerjaan maupun percintaan. Karena itulah VC dan seluruh internet menertawakannya, lalu akhirnya tutup. Saya benar-benar bertanya-tanya bagaimana Tea bisa legal; secara legal rasanya seperti fitnah dengan penghitung waktu

    • Fitnah/pencemaran nama baik (libel atau slander) hanya berlaku jika sesuatu itu tidak benar atau dibuat sedemikian rupa sehingga orang bisa salah mengira itu sebagai fakta secara langsung. Yang termasuk hanyalah hal yang menimbulkan kerugian nyata karena paparan risiko, atau yang secara hukum sudah dianggap sebagai kerugian. "Pria ini menyeramkan dan memperlakukan pasangannya dengan buruk" itu murni opini. Agar opini menjadi fitnah, harus ada fakta spesifik dan palsu seperti "saya menilai orang ini begini karena saya menyaksikan fakta-fakta berikut". "Saya merasa orang ini mungkin suka berburu" bukan fitnah. Dalam hukum AS, penyedia layanan aplikasi hampir tidak pernah memikul tanggung jawab hukum atas unggahan fitnah yang dibuat pengguna. Harus ada pembuktian khusus bahwa layanan itu secara aktif mendorong konten tertentu, dan dalam praktiknya pengembang aplikasi sulit melewati ambang itu
    • Dalam praktiknya, saya justru menganggap aplikasi seperti ini sebagai alat yang cocok bagi orang berwatak kriminal atau pengguna berniat jahat untuk mengikuti dan memanipulasi orang lain. Mengklaim soal "keamanan", tetapi sebenarnya itu omong kosong tanpa dasar
    • Jika Tea ilegal, lalu apakah glassdoor, yelp, Google reviews, dan sebagainya juga harus dianggap ilegal? Verifikasi identitas dalam proses perekrutan juga mengikuti logika yang sama
    • Ada komentar sinis bahwa Peeple gagal karena tak bisa mencegah prasangka dan gibah, tetapi kalau tidak ada prasangka dan gibah, siapa yang mau memakai aplikasi seperti ini?
    • Saya rasa Tea juga mendapat perlindungan hukum Section 230 seperti media sosial lainnya

  • Saya pikir perusahaan yang tidak berhubungan langsung dengan layanan keuangan seharusnya tidak boleh meminta identitas yang diterbitkan pemerintah. Facebook juga begitu. Akibat aplikasi seperti ini, puluhan ribu orang akhirnya terekspos pada risiko pencurian identitas. Ini terlalu tidak etis untuk disebut sekadar ide growth hacking

    • Akan bagus kalau Apple atau Google menyediakan API Know Your Customer yang aman untuk para pengembang. Jika aplikasi hanya bisa mengambil informasi yang disetujui pengguna, itu bisa dipakai di banyak aplikasi. Saya tidak tahu apakah itu sudah ada, tetapi setidaknya Tea tampaknya tidak memakainya

  • Menurut saya, sekaranglah saatnya memikirkan kebijakan untuk menangani pelanggaran keamanan serius seperti ini (penyimpanan data Tea juga tampaknya dibiarkan tanpa perlindungan)

    • Saat peninjauan pendaftaran App Store, pemeriksaan daftar periksa keamanan server harus diwajibkan
    • Harus dibuat kill switch pemblokiran App Store, sehingga publisher bisa menyerahkan token privat ke Apple, dan bila token itu bocor, aplikasinya bisa langsung dihapus
    • Publisher aplikasi harus diwajibkan menyimpan sendiri data pribadi yang berharga milik mereka (misalnya akses ke rekening bank utama) di backend bersama data konsumen
      • Perusahaan harus dibuat menanggung ganti rugi nyata secara hukum saat terjadi pelanggaran keamanan. Satu-satunya cara membuat perusahaan peduli pada keamanan adalah kerugian finansial. Dalam kasus ini, ini bukan ulah peretas kelas dewa; semuanya terekspos hanya lewat publikasi terbuka
      • Dari sudut pandang pengguna, secara akal sehat memang tidak seharusnya mengunggah foto wajah dan SIM ke aplikasi gibah. Dulu sejak kecil sudah menjadi pengetahuan umum bahwa nama asli tidak diumbar kecuali untuk keperluan profesional. Apa pun yang dikatakan sistem, tanggung jawab akhirnya ada pada pengguna. OS bisa melindungi banyak hal, tetapi tidak bisa menghentikan tindakan diri sendiri
      • Insiden ini pada dasarnya hanya karena memakai bucket Firebase yang terbuka untuk publik, dan memblokir aplikasinya tidak menyelesaikan apa pun. Bisa saja backend terpisah bertindak sebagai perantara, tetapi Apple tidak bisa menilai keamanannya
      • Usulan agar publisher memasukkan data pribadi mereka sendiri ke backend itu cerdik. Semacam ide mewajibkan tabel MY_PERSONAL_INFO di setiap DB admin
      • Saya menentang penambahan wewenang bagi peninjau aplikasi. Sudah terlalu sering aplikasi ditolak tanpa alasan yang jelas, dan mencari tahu alasan penolakannya sangat menyiksa

  • Saya heran mengapa gambar SIM pengguna disimpan lebih lama dari yang diperlukan, bahkan sesaat pun setelah verifikasi selesai

    • Harus ada denda yang sangat besar untuk tindakan seperti ini. Karena tidak ada hukuman yang layak, perilaku semacam ini terus berulang. Harus didenda lebih dari 10% dari pendapatan, dan jika benar-benar parah, perlindungan konsumen baru terwujud kalau bukan hanya badan usaha, tetapi juga pemilik saham yang sebenarnya ikut menanggung ganti rugi dengan aset pribadi mereka
    • Aplikasi yang menangani informasi pribadi seperti ini ternyata juga dirancang agar orang bisa mengunggah foto orang lain (terlepas ada persetujuan atau tidak) dan juga gibah tentang mereka. Ini jelas layanan yang sama sekali tidak peduli privasi
    • Saya tidak punya dasar apa pun, tetapi saya penasaran dengan model bisnis aplikasi ini. Jangan-jangan mereka berniat menghasilkan uang dengan menjual data SIM dan nomor telepon
    • Inilah realitas vibe coding
    • Menurut laporan lain, antrean verifikasi akun baru melebihi 17 jam. Mungkin yang diambil para pengguna 4chan adalah gambar-gambar di antrean verifikasi itu

  • Jika seseorang bisa memakai LLM untuk membuat profil palsu dan mengotomatiskan aktivitasnya, maka keandalan maupun kegunaan data pengguna seperti ini akan menjadi nol. SIM juga bisa dipalsukan, dan orang bisa memegang SIM asli sambil berpura-pura menjadi orang lain. Layanan Tea itu sendiri, implementasinya, dan prosesnya adalah cacat desain sekaligus risiko hukum bagi para pengembang

    • Semoga ini menjadi pelajaran untuk sedikit lebih berhati-hati saat menyerahkan informasi sensitif. Jangan mudah menyerahkan ID hanya karena aplikasinya terlihat bagus atau karena kita tidak tahu siapa sebenarnya yang menjalankan layanan itu. Dulu saya pernah bekerja dengan lembaga pemerintah Kanada, dan mereka meminta identitas lewat email; saya kirim melalui tautan terenkripsi, tetapi ditolak, jadi saya terpaksa datang langsung. Sangat gila bahwa dalam 10 tahun internet berubah dari "jangan pakai nama asli di YouTube" menjadi "serahkan identitas ke sembarang aplikasi"
    • Kalau SIM saya bocor dan ada penguntit datang ke rumah, saya akan menyuruh orang itu pergi dengan mengatakan bahwa SIM mereka pasti palsu
    • Saya rasa memalsukan SIM atau mendaftar memakai identitas orang lain sebenarnya cukup sulit. Setidaknya, di sekitar saya tidak ada orang yang mau meminjamkan SIM mereka kepada orang lain

  • Saya yakin setidaknya harus ada satu orang berlatar belakang teknis di startup IT. Sekalipun semua hal dialihdayakan, tetap harus bisa mengajukan pertanyaan soal keamanan secara langsung. Masalahnya bukan sekadar basis data itu terekspos ke internet, tetapi benar-benar terbuka total. Menyimpan ID orang di DB publik seperti itu benar-benar mengejutkan

    • Sekarang ada alat vibe coding, jadi muncul suasana bahwa kemampuan teknis atau apa pun itu tidak lagi perlu, yang penting hasilnya keluar. Para influencer LinkedIn dan pendiri startup konon tidak peduli bagaimana cara deploy dilakukan, yang penting hanya hasil. Setelah kita sadar bahwa memandang IT dan keamanan hanya sebagai biaya yang harus ditekan tidak menghasilkan keamanan yang optimal, tampaknya kita akan kembali melempar semuanya dan hanya mengkhawatirkan orang lain
    • Kenyataannya, ada ratusan ribu database Firebase publik tanpa autentikasi yang terbuka, termasuk dari perusahaan Fortune 500, dan tingkat paparannya sangat serius [artikel bleepingcomputer]
    • Kemampuan teknis saja tidak cukup. Latar belakang keamanan itu wajib. Di antara orang-orang terburuk dalam urusan keamanan yang pernah saya lihat, banyak yang sangat percaya diri secara teknis tetapi tidak punya literasi keamanan
    • Dokter, pengacara, dan arsitek belajar 5–8 tahun atau lebih lalu mengikuti ujian. Saya pikir IT juga pada akhirnya akan diatur secara hukum beberapa dekade lagi. Selama ini bidang ini bebas dan menyenangkan, tetapi ke depan semuanya akan bergantung pada IT, jadi saya rasa aturannya akan menjadi sangat ketat

  • Media memang memakai istilah "kebocoran data", tetapi sebenarnya ini adalah DB yang terekspos. Untuk kasus seperti ini, perlu judul yang lebih akurat. Dalam headline berita, kesalahan operator layanan seharusnya lebih dulu ditekankan daripada menyalahkan peretas

    • Kata "kebocoran" adalah pilihan yang salah. Itu membuat orang mengira ini baru saja dibobol, padahal sebenarnya sejak aplikasi diluncurkan siapa pun sudah bisa melihatnya, dan baru terungkap hari ini. Itu justru jauh lebih buruk
    • Dalam pengalaman saya, artikel 404media sering kali tidak punya kualitas yang layak tampil di HN

  • Di tengah arus negara atau pemerintah daerah yang memperkuat verifikasi ID, ini contoh yang sangat jelas mengapa insiden seperti ini bisa menghasilkan akibat buruk

    • Sangat setuju

  • "Kata ‘aman’ memegang peranan terlalu besar dalam judul, padahal sebenarnya ini cuma aplikasi gibah"