แอปเดตติ้งเพื่อความปลอดภัยของผู้หญิง "Tea" ถูกแฮ็ก ข้อมูลผู้ใช้รั่วไหลไปยัง 4chan

 (404media.co)
2 คะแนน โดย GN⁺ 2025-07-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ฐานข้อมูลของแอปเดตติ้งเพื่อความปลอดภัยสำหรับผู้หญิง 'Tea' ถูกเปิดเผย และ รูปใบหน้าผู้ใช้กับข้อมูลบัตรประจำตัวของผู้ใช้นับพันราย รั่วไหลไปยัง 4chan
  • ฐานข้อมูลดังกล่าว ถูกเปิดสาธารณะบน Google Firebase โดยไม่มีการยืนยันตัวตน ทำให้ผู้ใช้ 4chan ใช้สคริปต์อัตโนมัติ ดาวน์โหลดข้อมูลจำนวนมาก
  • Tea มี ผู้ใช้มากกว่า 1.6 ล้านคน และ กำหนดให้ผู้ใช้อัปโหลดเซลฟีกับบัตรประจำตัวเพื่อยืนยันตัวตน
  • 404 Media ยืนยันว่ามี URL ของสตอเรจที่เป็นปัญหาอยู่จริง ผ่านการ decompile โค้ดของแอป Tea
  • ทาง Tea ไม่ได้ตอบคำถามจากสื่อหรือ Google แม้โพสต์ต้นฉบับจะถูกลบไปแล้ว แต่ยังคงมีหลักฐานการรั่วไหลในไฟล์ archive และโพสต์ติดตามผล

ภาพรวมเหตุข้อมูลรั่วไหลของแอป Tea

Firebase storage ที่ถูกเปิดเผย

  • ฐานข้อมูล Google Firebase ของแอป Tea ถูกเปิดแบบไม่มีการยืนยันตัวตน และใครก็เข้าถึงได้
  • ผู้ใช้ 4chan พบช่องโหว่นี้และดาวน์โหลด ข้อมูลส่วนตัวกับรูปเซลฟีนับพันรายการ
  • ข้อมูลถูก รวบรวมด้วยสคริปต์อัตโนมัติ และมีการแชร์สคริปต์ที่เกี่ยวข้องในโพสต์ด้วย

ข้อมูลที่รั่วไหล

  • ยืนยันแล้วว่ามี รูปใบหน้าผู้ใช้, สแกนใบขับขี่, วันเดือนปีเกิด, ข้อมูลตำแหน่ง และอื่น ๆ รวมอยู่ด้วย
  • ในเธรด 4chan มีการอธิบายว่าเป็น ภาพที่โจ่งแจ้งและไม่ถูกเซ็นเซอร์ พร้อมระบุว่ามีการรวบรวมข้อมูลได้หลายพันรายการ
  • โพสต์ดังกล่าวถูกเผยแพร่ต่อพร้อมข้อความว่า “ถ้าคุณอัปโหลดใบหน้าและใบขับขี่ไปยังแอป Tea ตอนนี้คุณก็ถูก doxxed ต่อสาธารณะแล้ว”

การตรวจสอบโครงสร้างแอปและขั้นตอนยืนยันตัวตน

  • แอป Tea ขอ ชื่อผู้ใช้, ตำแหน่งที่อยู่, วันเดือนปีเกิด, รูปใบหน้า, รูปบัตรประจำตัว ตอนสมัครสมาชิก
  • 404 Media ทำการ decompile แอปเวอร์ชัน Android และยืนยันว่า URL ของ Firebase storage รวมอยู่ในโค้ดจริง
  • ในขั้นตอนยืนยันตัวตน มีการขอ อัปโหลดเซลฟีเพื่อตรวจสอบว่าเป็นผู้หญิงหรือไม่ และบางครั้งต้องรอนานสูงสุดถึง 17 ชั่วโมง

เบื้องหลังการเติบโตของแอป Tea

  • หลังเปิดตัวในปี 2023 ล่าสุดแอปขึ้นไปอยู่ใน อันดับต้น ๆ ของ App Store ในสหรัฐฯ ทำให้จำนวนผู้ใช้เพิ่มขึ้นอย่างรวดเร็ว
  • แอปมีฟีเจอร์คล้ายกลุ่ม Facebook อย่าง ‘Are We Dating the Same Guy?’ ที่ให้ ผู้หญิงแชร์ประสบการณ์เกี่ยวกับผู้ชายแบบไม่เปิดเผยตัวตน
  • ในหน้าแอประบุข้อความว่า “ถามชุมชนของเราได้เลย เราจะช่วยดูว่าผู้ชายคนนั้นปลอดภัยไหม หรือกำลังนอกใจอยู่หรือเปล่า”

การรับมือที่ไม่เพียงพอ

  • แอป Tea และผู้ก่อตั้ง Sean Cook ไม่ได้ตอบสื่อหรือข้อความส่วนตัว
  • มีผู้ใช้รายหนึ่งแจ้งปัญหาไปยัง Google เช่นกัน แต่ยังไม่ชัดเจนว่ามีการตอบสนองหรือไม่
  • หน้า Firebase ที่รั่วไหลตอนนี้ถูกปิดการเข้าถึงแล้ว และแสดงข้อผิดพลาด “Permission denied”

ความกังวลต่อช่องโหว่ด้านความปลอดภัย

  • แม้จะเป็นบริการที่เก็บข้อมูลอ่อนไหวอย่างมากของผู้ใช้ แต่กลับ ไม่มีแม้แต่การตั้งค่าการยืนยันตัวตนขั้นพื้นฐาน
  • กรณีนี้ถูกชี้ว่าเป็นตัวอย่างชัดเจนของแอปที่เรียกขอข้อมูลอ่อนไหว แต่ ก่อให้เกิดการรั่วไหลครั้งใหญ่เพราะความละเลยด้านความปลอดภัย
  • แบรนด์ของแอป Tea ในฐานะคอมมูนิตี้เพื่อความปลอดภัยสำหรับผู้หญิงที่ตั้งอยู่บนความไว้วางใจ น่าจะได้รับผลกระทบอย่างหนัก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-07-26
ความคิดเห็นจาก Hacker News

  • ดูได้ที่ ลิงก์ของ archive.today

    • เรียกเว็บไซต์ที่ต้องยืนยันตัวตนผู้ใช้ว่า freewalled ก็ดูน่าสนใจดีเหมือนกัน

  • แอปนี้โดยพื้นฐานแทบจะเหมือนกับ Peeple ทุกอย่าง แค่จำกัดให้เฉพาะผู้หญิงสมัครได้เท่านั้น Peeple ล้มเหลวเพราะไม่สามารถกันอคติและการนินทาว่าร้ายได้ 100% ถ้าใครสักคนอิจฉาแล้วใส่ร้ายอีกฝ่าย พร้อมโพสต์ให้ดูเหมือนเป็นความจริง ผู้เสียหายก็อาจเสียหายในเรื่องงานหรือความสัมพันธ์ได้ สุดท้ายทั้ง VC และทั้งอินเทอร์เน็ตก็พากันหัวเราะเยาะจนมันต้องปิดตัวไป เลยสงสัยว่า Tea ถูกกฎหมายได้อย่างไร และให้ความรู้สึกเหมือนเป็นการหมิ่นประมาทแบบติดตัวจับเวลาอย่างถูกกฎหมาย

    • การหมิ่นประมาท (การใส่ร้ายหรือดูหมิ่น) จะเกิดขึ้นได้ก็ต่อเมื่อเป็นสิ่งที่ไม่จริง หรือทำให้คนเข้าใจผิดได้โดยตรงว่าเป็นข้อเท็จจริง และต้องก่อให้เกิดความเสียหายจริงจากการเสี่ยงอันตราย หรือเป็นสิ่งที่กฎหมายถือว่าเป็นความเสียหายอยู่แล้ว ประโยคอย่าง "ผู้ชายคนนี้ดูน่ากลัวและปฏิบัติต่อแฟนแย่มาก" เป็นเพียงความเห็นล้วน ๆ เท่านั้น ความเห็นจะกลายเป็นการหมิ่นประมาทได้ก็ต่อเมื่อมีข้อเท็จจริงเจาะจงที่เป็นเท็จรวมอยู่ด้วย เช่น "ฉันคิดกับคนนี้แบบนั้นเพราะเห็นข้อเท็จจริงเหล่านี้" การพูดว่า "รู้สึกว่าคนนี้น่าจะชอบล่าสัตว์" ไม่ใช่การหมิ่นประมาท ตามกฎหมายสหรัฐ ผู้ให้บริการแอปแทบไม่ต้องรับผิดทางกฎหมายต่อโพสต์หมิ่นประมาทที่ผู้ใช้เป็นคนลง ต้องพิสูจน์เป็นกรณีพิเศษว่าบริการนั้นจงใจชี้นำคอนเทนต์แบบนั้น ซึ่งในโลกจริงบริษัทพัฒนาแอปมักข้ามเกณฑ์นี้ได้ยาก
    • ในทางปฏิบัติกลับรู้สึกว่าแอปแบบนี้เหมาะจะเป็นเครื่องมือให้คนมีแนวโน้มก่ออาชญากรรมหรือผู้ใช้ที่มีเจตนาร้ายคอยตามและบิดเบือนข้อมูลของคนอื่นเสียมากกว่า อ้างว่าเพื่อ 'ความปลอดภัย' แต่จริง ๆ แล้วไม่มีหลักฐานรองรับ
    • ถ้า Tea ผิดกฎหมาย ก็ชวนให้สงสัยว่า glassdoor, yelp, Google reviews ฯลฯ ก็น่าจะต้องผิดกฎหมายทั้งหมดด้วย รวมถึงการยืนยันตัวตนในกระบวนการจ้างงานตามตรรกะเดียวกัน
    • แม้จะบอกว่า Peeple พังเพราะหยุดอคติและการนินทาไม่ได้ แต่ถ้าไม่มีอคติและการนินทา ใครจะใช้แอปแบบนี้กันล่ะ เป็นความเห็นเชิงประชดตัวเอง
    • คิดว่า Tea ก็ได้รับความคุ้มกันทางกฎหมายตาม Section 230 เหมือนโซเชียลมีเดียอื่น ๆ

  • คิดว่าบริษัทที่ไม่เกี่ยวข้องโดยตรงกับบริการทางการเงินไม่ควรมีสิทธิ์ขอเอกสารยืนยันตัวตนที่ออกโดยรัฐบาล Facebook ก็เช่นกัน สุดท้ายเพราะแอปแบบนี้ คนเป็นหมื่น ๆ คนจึงเสี่ยงถูกขโมยข้อมูลส่วนตัว จะเรียกว่านี่เป็นไอเดีย growth hacking ก็ดูไร้จริยธรรมเกินไป

    • ถ้า Apple หรือ Google ทำ Know Your Customer API ที่ปลอดภัยสูงให้ดีเวลลอปเปอร์ใช้ก็น่าจะดี โดยให้แอปดึงได้เฉพาะข้อมูลที่ผู้ใช้อนุญาต ก็น่าจะนำไปใช้ได้กับหลายแอป ไม่รู้ว่ามีอยู่แล้วหรือเปล่า แต่ Tea อย่างน้อยก็ดูเหมือนไม่ได้ใช้

  • คิดว่านี่แหละคือเวลาที่ควรเริ่มคิดนโยบายรับมือการละเมิดความปลอดภัยร้ายแรงแบบนี้ (ดูเหมือนที่เก็บข้อมูลของ Tea เองก็เปิดโล่งไร้การป้องกัน)

    • ตอนตรวจแอปขึ้น App Store ควรบังคับตรวจเช็กลิสต์ด้านความปลอดภัยของเซิร์ฟเวอร์ด้วย
    • ควรมี kill switch สำหรับบล็อกใน App Store โดยให้ผู้เผยแพร่ส่งโทเคนลับไว้กับ Apple และถ้าโทเคนนั้นรั่วก็ควรลบแอปออกได้ทันที
    • ควรบังคับให้ผู้เผยแพร่แอปเก็บข้อมูลส่วนตัวสำคัญของตัวเอง (เช่น สิทธิ์เข้าถึงบัญชีธนาคารหลัก) ไว้ในแบ็กเอนด์เดียวกับข้อมูลผู้บริโภค
      • บริษัทควรถูกบังคับตามกฎหมายให้ต้องชดใช้ค่าเสียหายจริงเมื่อเกิดการละเมิดความปลอดภัย วิธีเดียวที่จะทำให้บริษัทสนใจเรื่องความปลอดภัยคือทำให้เกิดต้นทุนทางการเงิน ในกรณีนี้ไม่ใช่ฝีมือแฮ็กเกอร์ระดับเทพ แต่เป็นการเปิดสาธารณะจนทุกอย่างถูกเปิดเผยหมด
      • จากมุมผู้ใช้ มันเป็นสามัญสำนึกแท้ ๆ ว่าไม่ควรอัปโหลดรูปใบหน้าและใบขับขี่ลงในแอปนินทา ตอนเด็ก ๆ เราถูกสอนกันว่าไม่ควรเปิดเผยชื่อจริงยกเว้นเพื่อการงาน ไม่ว่าระบบจะพูดอย่างไร ความรับผิดชอบสุดท้ายก็อยู่ที่ผู้ใช้ ระบบปฏิบัติการจะป้องกันแค่ไหนก็หยุดการกระทำของตัวเองไม่ได้
      • เหตุการณ์นี้เป็นแค่การใช้ Firebase bucket แบบเปิดสาธารณะเท่านั้น การบล็อกแอปไม่ได้แก้ปัญหา แบ็กเอนด์อาจมีตัวกลางคั่นอยู่ก็ได้ แต่ Apple ก็ตรวจความปลอดภัยส่วนนั้นไม่ได้
      • ข้อเสนอให้ผู้เผยแพร่ใส่ข้อมูลส่วนตัวของตัวเองลงในแบ็กเอนด์ด้วยเป็นไอเดียที่แสบดี เหมือนบังคับให้ทุกฐานข้อมูลผู้ดูแลมีตาราง MY_PERSONAL_INFO
      • ไม่เห็นด้วยกับการเพิ่มอำนาจให้ผู้ตรวจแอป ตอนนี้ก็มีการปฏิเสธแอปแบบไร้เหตุผลอยู่บ่อยแล้ว และกว่าจะรู้ว่าโดนปฏิเสธเพราะอะไรก็ทรมานมาก

  • สงสัยว่าทำไมถึงยังเก็บภาพใบขับขี่ของผู้ใช้ไว้อีกแม้แต่วินาทีเดียวหลังยืนยันตัวตนเสร็จ

    • พฤติกรรมแบบนี้ควรโดนค่าปรับมหาศาล เพราะไม่มีบทลงโทษจริงจัง พฤติกรรมแบบนี้จึงเกิดซ้ำ ควรปรับอย่างน้อย 10% ของรายได้ และถ้าร้ายแรงมาก ไม่ใช่แค่บริษัท แต่ผู้ถือหุ้นตัวจริงควรต้องรับผิดชดใช้จากทรัพย์สินส่วนตัวด้วย ถึงจะเรียกว่าคุ้มครองผู้บริโภคจริง
    • แอปที่จัดการข้อมูลส่วนตัวแบบนี้ แท้จริงแล้วก็เป็นแอปที่ออกแบบมาให้ผู้ใช้เอารูปของคนอื่น (ไม่ว่าจะยินยอมหรือไม่) และเรื่องนินทามาอัปโหลดได้ เป็นบริการที่ไม่ใส่ใจความเป็นส่วนตัวเลย
    • ไม่มีหลักฐานอะไร แต่ก็สงสัยว่าโมเดลหารายได้ของแอปนี้คืออะไร หรือกะจะขายข้อมูลใบขับขี่กับเบอร์โทรเพื่อหาเงินหรือเปล่า
    • นี่แหละความจริงของ vibe coding
    • ตามรายงานอื่น บอกว่าคิวรอการยืนยันบัญชีใหม่ยาวเกิน 17 ชั่วโมง รูปที่ผู้ใช้ 4chan เอาไปได้อาจเป็นรูปในคิวรอยืนยันก็ได้

  • ถ้ามีใครใช้ LLM สร้างโปรไฟล์ปลอมและทำกิจกรรมอัตโนมัติได้ ความน่าเชื่อถือหรือประโยชน์ของข้อมูลผู้ใช้แบบนี้ก็จะหายไปหมด ใบขับขี่เองก็ปลอมได้ และยังถือใบขับขี่จริงของคนอื่นมาสวมรอยได้ด้วย ทั้งบริการของ Tea เอง รวมถึงการติดตั้งใช้งานและกระบวนการต่าง ๆ ล้วนมีข้อบกพร่องด้านการออกแบบ และเป็นความเสี่ยงทางกฎหมายต่อดีเวลลอปเปอร์

    • หวังว่าบทเรียนคือควรระวังมากขึ้นเวลาให้ข้อมูลอ่อนไหว แค่แอปหน้าตาดี หรือไม่รู้ด้วยซ้ำว่าใครเป็นคนให้บริการ ก็ไม่ควรส่ง ID ให้กันง่าย ๆ เมื่อก่อนตอนทำงานกับหน่วยงานรัฐบาลแคนาดา เขาขอเอกสารยืนยันตัวตนทางอีเมล พอส่งเป็นลิงก์เข้ารหัสกลับโดนปฏิเสธ สุดท้ายต้องไปด้วยตัวเอง โลกอินเทอร์เน็ตเปลี่ยนจาก 'อย่าใช้ชื่อจริงบน YouTube' ไปเป็น 'ส่งบัตรประชาชนให้แอปไหนก็ได้' ภายใน 10 ปี มันบ้ามาก
    • ถ้าใบขับขี่ของฉันรั่วแล้วมีสตอล์กเกอร์มาหาถึงบ้าน ฉันคงไล่เขากลับโดยบอกว่าใบขับขี่เขาต้องเป็นของปลอมแน่ ๆ
    • คิดว่าการปลอมใบขับขี่หรือสมัครด้วยชื่อคนอื่นจริง ๆ แล้วทำได้ยากพอสมควร อย่างน้อยรอบตัวฉันไม่มีใครยอมให้คนอื่นยืมใบขับขี่ของตัวเองแน่

  • เชื่อจริง ๆ ว่าถ้าใครจะทำสตาร์ตอัปด้านไอที อย่างน้อยต้องมีคนหนึ่งที่มีพื้นฐานทางเทคนิค ถึงจะเอางานไปจ้างข้างนอกทั้งหมด ก็ยังต้องถามคำถามด้านความปลอดภัยได้ ปัญหาคือฐานข้อมูลนี้ไม่ใช่แค่เปิดออกสู่อินเทอร์เน็ต แต่เปิดสาธารณะเต็มรูปแบบเลย การเก็บ ID ของคนไว้ในฐานข้อมูลเปิดถือว่าน่าช็อกมาก

    • ตอนนี้มีกระแสว่าในเมื่อมีเครื่องมือ vibe coding แล้ว ก็ไม่ต้องมีความรู้เชิงเทคนิคอะไรทั้งนั้น แค่ทำให้มีผลลัพธ์ก็พอ พวกอินฟลูเอนเซอร์บน LinkedIn หรือผู้ก่อตั้งก็สนใจแค่ผลลัพธ์ ไม่ได้สนวิธี deploy ตอนนี้เราก็เห็นแล้วว่าการมองไอทีและความปลอดภัยเป็นแค่ต้นทุนที่ต้องลดให้ต่ำสุด ไม่ได้นำไปสู่ผลลัพธ์ด้านความปลอดภัยที่ดีที่สุด แต่ก็ดูเหมือนทุกคนจะทิ้งทุกอย่างแล้วปล่อยให้คนอื่นมาปวดหัวกันอีก
    • ในความเป็นจริงมีฐานข้อมูล firebase แบบเปิดสาธารณะโดยไม่ต้องยืนยันตัวตนหลุดอยู่มากกว่าหลายแสนรายการ รวมถึงบริษัท Fortune 500 ด้วย การเปิดโล่งแบบไร้การป้องกันรุนแรงมาก [บทความจาก bleepingcomputer]
    • ความสามารถทางเทคนิคล้วน ๆ ยังไม่พอ ต้องมีพื้นฐานด้านความปลอดภัยด้วย คนที่แย่ที่สุดเรื่องความปลอดภัยหลายคนคือคนที่มั่นใจในเทคนิคของตัวเอง แต่ไม่มีความรู้ด้าน security hygiene
    • แพทย์ ทนาย และสถาปนิกต้องเรียน 5-8 ปีหรือมากกว่านั้นและต้องสอบ ในนามของกฎหมาย อีกไม่กี่สิบปีข้างหน้า ไอทีก็คงถูกกำกับดูแลแบบนั้นเช่นกัน จนถึงตอนนี้มันยังอิสระและสนุกอยู่ แต่ต่อไปทุกอย่างจะพึ่งพาไอที จึงน่าจะเข้มงวดมากขึ้น

  • แม้สื่อจะใช้คำว่า “ข้อมูลรั่วไหล” แต่จริง ๆ แล้วมันคือฐานข้อมูลที่ถูกเปิดทิ้งไว้ กรณีแบบนี้ควรใช้พาดหัวที่แม่นยำกว่า ในหัวข่าวควรเน้นความผิดของผู้ให้บริการก่อน มากกว่าจะโทษแฮ็กเกอร์

    • คำว่า “รั่วไหล” เป็นคำที่เลือกใช้ผิด เพราะทำให้เข้าใจว่าเพิ่งถูกเจาะเมื่อไม่นานมานี้ แต่จริง ๆ แล้วใครก็เข้าไปดูได้ตั้งแต่เริ่มแอป เพิ่งมาเปิดเผยเอาวันนี้เอง ซึ่งยิ่งแย่กว่าเดิมอีก
    • จากประสบการณ์ของฉัน ข่าวจาก 404media หลายชิ้นมักไม่ใช่งานคุณภาพระดับที่จะขึ้น HN

  • ท่ามกลางกระแสที่รัฐบาลกลางหรือท้องถิ่นพยายามเพิ่มความเข้มงวดเรื่องการยืนยันตัวตน กรณีนี้แสดงให้เห็นชัดว่าทำไมอุบัติเหตุแบบนี้ถึงนำไปสู่ผลลัพธ์ที่เลวร้ายได้

    • เห็นด้วยอย่างยิ่ง

  • "คำว่า 'ความปลอดภัย' มีบทบาทสำคัญเกินไปในชื่อเรื่อง แต่จริง ๆ มันก็เป็นแค่แอปนินทา"