Sebuah aplikasi keamanan kencan wanita populer bernama Tea mengalami pelanggaran keamanan yang sangat parah hingga membocorkan informasi pribadi sekitar 30.000 pengguna, termasuk surat izin mengemudi, foto selfie, dan data lokasi GPS. Pelanggaran ini terjadi bukan melalui peretasan yang canggih, melainkan karena aplikasi menyimpan data sensitif pengguna di bucket penyimpanan Firebase yang sepenuhnya terbuka untuk publik dan dapat diakses oleh siapa saja di internet.
Tea , yang mencapai puncak tangga lagu App Store minggu ini, dirancang untuk membantu wanita berbagi informasi tentang pria yang pernah mereka kencani guna meningkatkan keamanan. Pengguna diwajibkan memverifikasi identitas mereka dengan mengunggah foto selfie dan foto surat izin mengemudi. Namun, dokumen-dokumen yang sangat sensitif ini disimpan tanpa perlindungan keamanan sama sekali.
Statistik Pelanggaran:
- Pengguna yang Terdampak: ~30.000 pengguna
- Volume Data: 60GB informasi pribadi
- Jenis Data yang Terekspos: SIM, foto selfie, nama pengguna, email, riwayat percakapan, koordinat GPS
- Platform Penyimpanan: Firebase (platform pengembangan mobile Google )
- Tingkat Keamanan: Bucket publik tanpa memerlukan autentikasi
Ruang Lingkup Paparan Data
Informasi yang bocor mencakup jauh lebih dari sekadar foto verifikasi identitas. Pengguna di 4chan menemukan database yang terekspos dan mulai secara sistematis mengunduh data sebesar 60GB, yang mencakup surat izin mengemudi, foto selfie, nama pengguna, alamat email, riwayat obrolan, dan koordinat GPS dari metadata foto. Seseorang bahkan membuat peta publik yang menunjukkan lokasi semua 30.000 pengguna berdasarkan data lokasi ini.
Pelanggaran tersebut telah menciptakan file torrent yang berisi semua informasi ini, yang kini disebarluaskan secara online. Ini berarti kerusakan meluas jauh melampaui penemuan awal, karena data tersebut kini tersedia secara permanen bagi siapa saja yang ingin mengaksesnya.
Kelalaian Teknis di Balik Pelanggaran
Kegagalan keamanan tampaknya berasal dari implementasi teknis yang sangat buruk. Aplikasi menggunakan Firebase , platform pengembangan mobile Google , tetapi mengonfigurasinya sebagai bucket publik tanpa memerlukan autentikasi. Ini berarti siapa saja yang mengetahui URL dapat mengakses semua file yang tersimpan langsung melalui browser web mereka.
SURAT IZIN MENGEMUDI DAN FOTO WAJAH! MASUK KE SINI SEBELUM MEREKA MENUTUPNYA! tulis salah satu pengguna 4chan yang menemukan kerentanan tersebut, menyoroti betapa mudahnya data tersebut diakses.
Diskusi komunitas mengungkapkan bahwa ini bukanlah serangan siber yang canggih, melainkan kesalahpahaman mendasar tentang praktik keamanan dasar. Beberapa pengguna telah membuat skrip otomatis untuk mengunduh seluruh database, dan perusahaan baru mengamankan bucket setelah pelanggaran menjadi pengetahuan publik.
Detail Teknis:
- Platform: Bucket penyimpanan Firebase
- Metode Akses: Akses URL langsung (tidak memerlukan peretasan)
- Format Data: File tidak terenkripsi
- Metode Penemuan: Pengguna 4chan menemukan database yang terbuka
- Alat Otomatis: Beberapa skrip dibuat untuk unduhan data massal
Implikasi Hukum dan Keamanan
Pelanggaran ini menciptakan kekhawatiran keamanan yang serius bagi wanita yang terkena dampak. Banyak pengguna aplikasi keamanan kencan mungkin memiliki perintah pembatasan terhadap pasangan yang kasar atau sedang berusaha melarikan diri dari hubungan yang abusif. Memiliki informasi pribadi mereka, termasuk alamat rumah yang diperoleh dari data GPS , terekspos online dapat menempatkan mereka dalam bahaya fisik.
Insiden ini juga menimbulkan pertanyaan tentang fungsionalitas inti aplikasi. Tea memungkinkan pengguna memposting foto dan informasi tentang pria tanpa persetujuan mereka, pada dasarnya menciptakan apa yang dikritik sebagai platform doxxing. Ironi bahwa pengguna aplikasi doxxing kini telah di-doxx sendiri tidak luput dari perhatian pengamat.
Ahli hukum menyarankan bahwa perusahaan menghadapi potensi gugatan class-action dan kasus perdata individu. Penanganan yang lalai terhadap data sensitif seperti itu, terutama surat izin mengemudi yang dianggap sebagai dokumen identifikasi pemerintah, dapat mengakibatkan denda finansial yang signifikan dan tanggung jawab pidana.
Kronologi Peristiwa:
- Peluncuran Aplikasi: 2023 (mencapai peringkat 1 di App Store pada Juli 2025)
- Penemuan Pelanggaran: 25 Juli 2025 pukul 6:44 pagi PST
- Distribusi Data: Informasi dibagikan di 4chan dan disebarkan melalui torrent
- Respons Perusahaan: Pernyataan resmi dipublikasikan setelah terekspos ke publik
Respons Perusahaan dan Dampak Industri
Respons resmi Tea mengklaim mereka mengidentifikasi akses tidak sah ke sistem mereka, tetapi pembingkaian ini dikritik sebagai menyesatkan karena data tersebut dapat diakses publik sejak awal. Perusahaan mengakui bahwa mereka telah menyimpan foto verifikasi pengguna lebih lama dari yang diberitahukan kepada pengguna, bertentangan dengan kebijakan privasi mereka.
Insiden ini berfungsi sebagai pengingat yang keras tentang risiko yang terkait dengan mengunggah identifikasi pemerintah ke aplikasi dan layanan yang belum terbukti. Saat pemerintah di seluruh dunia mendorong lebih banyak persyaratan verifikasi usia online, pelanggaran ini menunjukkan betapa bencana sistem seperti itu dapat terjadi ketika diimplementasikan tanpa langkah-langkah keamanan yang tepat.
Pelanggaran aplikasi Tea mewakili badai sempurna dari implementasi teknis yang buruk, etika bisnis yang dipertanyakan, dan ketegangan yang berkembang seputar privasi dan keamanan online di dunia kencan digital.
Referensi: Women Dating Safety App 'Tea' Breached, Users' IDs Posted to 4chan