Kadınlar için flört güvenliği uygulaması "Tea" hacklendi, kullanıcı bilgileri 4chan'e sızdırıldı

 (404media.co)
2 puan yazan GN⁺ 2025-07-26 | 1 yorum | WhatsApp'ta paylaş
  • Kadın güvenliğine odaklanan flört uygulaması 'Tea'nin veritabanı açığa çıktı ve binlerce kullanıcının yüz fotoğrafı ile kimlik bilgileri 4chan'e sızdırıldı
  • Söz konusu veritabanı Google Firebase üzerinde kimlik doğrulama olmadan herkese açıktı; 4chan kullanıcıları otomatik betikler kullanarak verileri toplu olarak indirdi
  • Tea'nin 1,6 milyondan fazla kullanıcısı bulunuyor ve kullanıcı doğrulaması için selfie ile kimlik yüklenmesini istiyor
  • 404 Media, Tea uygulamasının kodunu decompile ederek sorunlu depolama URL'sinin gerçekten var olduğunu doğruladı
  • Tea tarafı basının ya da Google'ın sorularına yanıt vermedi; ilk gönderi silinmiş olsa da arşivler ve devam gönderileri sızıntının izlerini göstermeyi sürdürüyor

Tea uygulamasındaki veri sızıntısı olayına genel bakış

Açığa çıkan Firebase deposu

  • Tea uygulamasının Google Firebase veritabanı kimlik doğrulama olmadan açık durumdaydı ve herkes erişebiliyordu
  • 4chan kullanıcıları bu zafiyeti keşfederek kişisel bilgiler ve binlerce selfie fotoğrafını indirdi
  • Veriler otomatik betikler kullanılarak toplandı ve ilgili betikler de gönderilerde paylaşıldı

Sızdırılan bilgiler

  • Kullanıcı yüz fotoğrafları, sürücü belgesi taramaları, doğum tarihi, konum bilgileri gibi verilerin dahil olduğu doğrulandı
  • 4chan başlığında, açık ve sansürsüz görüntüler ifadesiyle birlikte binlerce kaydın toplandığından söz edildi
  • Gönderi, “Tea uygulamasına yüzünüzü ve sürücü belgenizi yüklediyseniz, şu anda kamuya açık şekilde doxxing'e maruz kaldınız” ifadesiyle yayıldı

Uygulama yapısının doğrulanması ve kimlik doğrulama süreci

  • Tea uygulaması kayıt sırasında kullanıcı adı, konum, doğum tarihi, yüz fotoğrafı ve kimlik fotoğrafı talep ediyor
  • 404 Media, Android sürümünü decompile ederek Firebase depo URL'sinin gerçekten kod içinde bulunduğunu doğruladı
  • Doğrulama sürecinde, kadın olup olmadığını değerlendirmek için selfie yüklenmesi isteniyor ve bekleme süresi bazen 17 saate kadar çıkabiliyor

Tea uygulamasının büyüme arka planı

  • 2023'teki lansmanın ardından son dönemde ABD App Store sıralamalarında üst sıralara çıkarak kullanıcı sayısını hızla artırdı
  • Uygulama, 'Are We Dating the Same Guy?' gibi Facebook gruplarına benzer şekilde, kadınların erkeklerle ilgili deneyimlerini anonim olarak paylaşmasına olanak tanıyor
  • Uygulama sayfasında “Topluluğumuza sorun. O erkeğin güvenli olup olmadığını ya da sizi aldatıp aldatmadığını kontrol edelim” ifadesi yer alıyor

Yetersiz müdahale

  • Tea uygulaması ve kurucusu Sean Cook, basına ve özel mesajlara yanıt vermedi
  • Bir kullanıcı sorunu Google'a da bildirdi, ancak nasıl bir aksiyon alındığı belirsizliğini koruyor
  • Sızdırılan Firebase sayfasına şu anda erişim engellenmiş durumda ve “Permission denied” hatası görülüyor

Güvenlik açığına ilişkin endişeler

  • Kullanıcıların son derece hassas bilgilerini barındıran bir hizmet olmasına rağmen temel kimlik doğrulama ayarları bile yapılmamıştı
  • Hassas bilgi talep eden bir uygulamanın güvenlik ihmali nedeniyle büyük çaplı bir sızıntıya yol açmasının tipik bir örneği olarak gösteriliyor
  • Güvene dayalı, kadınlara özel bir güvenlik topluluğu olarak Tea uygulamasının markasının ciddi darbe alması bekleniyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-07-26
Hacker News yorumu

  • archive.today bağlantısından görülebilir

    • Kullanıcı doğrulaması gerektiren sitelere freewalled denmesi bence epey komik

  • Bu uygulama temelde Peeple ile neredeyse aynı yapıda, sadece yalnızca kadınların kaydolabildiği bir sürüm. Peeple’ın başarısız olma nedeni önyargı ve dedikoduyu %100 engelleyememesiydi. Birisi kıskançlıkla karşı tarafı karalayıp bunu gerçekmiş gibi paylaşırsa, mağdur iş bulma ya da flört hayatında zarar görebilir. Bu yüzden VC’ler ve tüm internet bununla dalga geçti, sonunda da kapandı. Tea’nin nasıl yasal olabildiğini anlamıyorum; yasal bir iftira zamanlayıcısı gibi duruyor

    • İftira (karalama veya hakaret), ancak gerçek dışıysa ya da doğrudan olgusal bir iddia olarak anlaşılabilecek şekilde sunuluyorsa oluşur. Yalnızca gerçek bir riskten doğan zarar yaratıyorsa ya da hukuken zaten zarar sayılıyorsa bu kapsama girer. "Bu adam creepy ve partnerlerine korkunç davranıyor" demek tamamen görüştür. Bir görüşün iftira sayılması için, "Ben bu kişi hakkında şöyle düşünüyorum çünkü şu şu olayları gördüm" gibi somut ve yanlış olgular içermesi gerekir. "İçime doğuyor, bu kişi avlanmaktan hoşlanıyor olabilir" iftira değildir. ABD hukukuna göre, uygulama hizmeti sağlayıcıları kullanıcıların paylaştığı iftira niteliğindeki içerikler için neredeyse hiç hukuki sorumluluk taşımaz. Hizmetin belirli içerikleri özellikle teşvik ettiğinin kanıtlanması gerekir ve pratikte uygulama geliştiricilerinin bu eşiği aşması zordur
    • Aslında bu tür uygulamalar, suç eğilimli ya da kötü niyetli kullanıcıların başkalarını takip edip manipüle etmesi için uygun araçlar gibi geliyor. 'Güvenlik' iddia ediyor ama gerçekte temelsiz bir söylem
    • Eğer Tea yasadışıysa, o zaman glassdoor, yelp, Google reviews vb. de yasadışı olmalı diye düşünüyorum. İşe alım sürecindeki kimlik doğrulama da aynı mantıkla değerlendirilir
    • Peeple’ın önyargı ve dedikoduyu engelleyemediği için battığı söyleniyor ama aslında önyargı ve dedikodu olmasa kim böyle bir uygulamayı kullanır ki, diyen alaycı bir görüş de var
    • Tea’nin de diğer sosyal medya platformları gibi Section 230 kapsamındaki hukuki muafiyetten yararlandığını düşünüyorum

  • Finansal hizmetlerle doğrudan ilgili olmayan şirketlerin devlet tarafından verilmiş kimlik istemesine izin verilmemeli diye düşünüyorum. Facebook da buna dahil. Sonuçta bu tür uygulamalar yüzünden on binlerce kişi kimlik hırsızlığı riskine maruz kalıyor. Buna growth hacking demek için bile fazla etik dışı

    • Apple veya Google geliştiricilere yüksek güvenlikli bir Know Your Customer API sunabilse güzel olurdu. Uygulamanın yalnızca kullanıcının izin verdiği bilgileri çekebilmesi sağlanırsa birçok uygulamada kullanılabilir. Belki zaten vardır ama en azından Tea onu kullanmamış gibi görünüyor

  • Bence tam da şimdi, bu tür ciddi güvenlik ihlallerine nasıl yanıt verileceğine dair politika düşünmenin zamanı (Tea’nin veri deposu da savunmasız durumdaymış gibi görünüyor)

    • App Store inceleme sürecinde sunucu güvenliği kontrol listesinin denetlenmesi zorunlu olmalı
    • App Store için bir kapatma kill switch’i yapılmalı; yayıncı gizli bir token’ı Apple’a vermeli ve bu token sızarsa uygulama hemen kaldırılabilmeli
    • Uygulama yayıncılarının kendi değerli kişisel bilgilerini de (ör. ana banka hesabına erişim yetkisi) tüketici verileriyle birlikte backend’de tutmaları zorunlu olmalı
      • Şirketler bir güvenlik ihlalinde hukuken gerçek tazminat ödemek zorunda kalmalı. Şirketlere güvenliği önemsetmenin tek yolu mali zarar vermek. Burada olay süper yetenekli bir hacker işi değil, verilerin açıkça herkese sunulmuş olması
      • Kullanıcı açısından bakınca, yüz fotoğrafını ve ehliyeti bir dedikodu uygulamasına yüklememenin zaten temel sağduyu olması gerekir. Ben çocukken, gerçek adını profesyonel amaçlar dışında internette ifşa etmemenin temel kural olduğu öğretilirdi. Sistem ne derse desin, nihai sorumluluk kullanıcıda. OS ne kadar koruma sağlarsa sağlasın, insanı kendi davranışından koruyamaz
      • Bu olay sadece herkese açık bir Firebase bucket kullanılması meselesi ve uygulamayı engellemek bunu çözmez. Belki backend araya giriyordu ama Apple bunun güvenliğini değerlendiremez
      • Yayıncının kendi kişisel verilerini backend’e koyması önerisi yaratıcı. Tüm yönetici veritabanlarında zorunlu MY_PERSONAL_INFO tablosu fikri
      • Uygulama inceleyicilerinin yetkisini artırmaya karşıyım. Zaten sık sık sebepsiz yere uygulama reddediliyor ve neden reddedildiğini anlamak aşırı yorucu

  • Kullanıcı ehliyet görsellerini doğrulama bittikten sonra bile neden bir an olsun daha uzun süre tuttuklarını anlamıyorum

    • Bu tür davranışlara çok büyük para cezaları kesilmeli. Doğru dürüst yaptırım olmayınca bu tekrar ediyor. Gelirin en az %10’u kadar ceza olmalı; gerçekten ağır vakalarda yalnızca şirket değil, fiili pay sahiplerinin kişisel varlıklarıyla da tazminat ödemesi sağlanmalı ki tüketici koruması gerçekleşsin
    • Kişisel verileri böyle ele alan bu uygulama, aslında başkalarının fotoğraflarını (rıza olsun ya da olmasın) ve dedikoduları da yüklemeye göre tasarlanmış. Gizliliği gerçekten umursayan bir hizmet değil
    • Hiçbir dayanağım yok ama bu uygulamanın gelir modelini merak ediyorum. Ehliyet ve telefon numarası verilerini satarak para kazanmayı planlamış olabilirler mi diye düşünüyorum
    • İşte vibe coding’in gerçekteki hali bu
    • Başka haberlerde yeni hesap doğrulama kuyruğunun 17 saati geçtiği söyleniyordu. 4chan kullanıcılarının ele geçirdiği şey muhtemelen bu doğrulama kuyruğundaki görseller olabilir

  • Biri LLM kullanarak sahte profiller üretip etkinliği otomatikleştirebilirse, bu tür kullanıcı verilerinin güvenilirliği ve faydası tamamen ortadan kalkar. Ehliyetler de sahte olabilir; hatta gerçek bir ehliyeti tutup başka biriymiş gibi davranmak da mümkün. Tea’nin hizmetinin kendisi, uygulaması ve süreçleri tasarım kusurlu ve geliştiriciler için hukuki risk oluşturuyor

    • Umarım bunun çıkarılacak dersi, hassas bilgi verirken biraz daha dikkatli olmak olur. Bir uygulama güzel görünüyor diye ya da kimin işlettiği belli değilken kimlik teslim etmek kolay olmamalı. Geçmişte Kanada’da bir devlet kurumuyla çalışırken benden kimliği e-postayla istemişlerdi; ben de şifreli bağlantıyla gönderdim, bunu kabul etmeyince bizzat gitmek zorunda kaldım. İnternetin 10 yılda "YouTube’da gerçek adını kullanma" noktasından "herhangi bir uygulamaya kimliğini ver" noktasına gelmesi delilik
    • Eğer ehliyetim sızar ve bir sapık evime gelirse, ona bunun belli ki sahte ehliyet olduğunu söyleyip geri yollarım
    • Ehliyet sahteciliği ya da başkasının adına kayıt olmak pratikte epey zor diye düşünüyorum. En azından çevremde kimsenin kendi ehliyetini başkasına vereceğini sanmıyorum

  • Bir IT girişimi kuracak ekipte en az bir kişinin teknik geçmişi olması gerektiğine kesinlikle inanıyorum. Her şeyi dışarıya yaptırsanız bile güvenlikle ilgili doğru soruları sorabilmeniz gerekir. Sorun sadece veritabanının internete açık olması değil, düpedüz tamamen herkese açık olmasıydı. İnsanların kimliklerini herkese açık bir veritabanında saklamış olmaları gerçekten şok edici

    • Artık vibe coding araçları var diye teknik bilgiye falan gerek olmadığı, sadece sonuç üretmenin önemli olduğu gibi bir hava var. LinkedIn influencer’ları ve girişimciler dağıtımın nasıl yapıldığıyla ilgilenmiyor, sadece sonuca bakıyor. IT ve güvenliği en aza indirilmesi gereken maliyet kalemi olarak görmenin en iyi güvenlik sonucunu vermediğini daha yeni fark etmişken, yine her şeyi savurup başkalarını dert etmek zorunda kalacağız gibi
    • Gerçekten de doğrulama gerektirmeyen herkese açık Firebase veritabanlarından yüz binlercesi açıkta duruyor. Fortune 500 şirketleri bile dahil, savunmasız ifşa çok ciddi [bleepingcomputer haberi]
    • Teknik yetkinlik tek başına yeterli değil. Güvenlik geçmişi şart. Güvenlik konusunda gördüğüm en kötü insanlardan bazıları teknik özgüveni yüksek ama güvenlik kültürü olmayanlardı
    • Doktorlar, avukatlar, mimarlar 5-8 yıl ya da daha fazla eğitim alıp sınava giriyor. Bence IT de birkaç on yıl içinde hukuken düzenlenen bir alan haline gelecek. Şimdiye kadar özgür ve eğlenceliydi ama gelecekte her şey IT’ye bağımlı olacağından çok daha katı olacak

  • Basında buna “veri sızıntısı” dendi ama gerçekte bu, ifşa edilmiş bir veritabanıydı. Böyle durumlarda daha doğru başlıklar gerekli. Haber başlığında hacker’lardan çok önce hizmeti işletenlerin hatası vurgulanmalı

    • “Sızıntı” kelimesi yanlış bir tercih. Yakın zamanda hacklenmiş gibi anlaşılıyor ama gerçekte uygulama ilk günden beri herkesin görebildiği durumdaymış ve bu ancak bugün ortaya çıkmış. Hatta bu daha da kötü
    • Benim deneyimime göre 404media kaynaklı haberler çoğu zaman HN’de yer alacak kalitede olmuyor

  • Ulusal ya da yerel yönetimlerin kimlik doğrulamayı sıkılaştırdığı bir dönemde, bunun neden kötü sonuçlar doğurabileceğini gösteren çok iyi bir örnek

    • Buna tamamen katılıyorum

  • “Güvenlik” kelimesi başlıkta çok önemli bir rol oynuyor ama gerçekte bu sadece bir dedikodu uygulaması