O aplicativo Tea, que ganhou popularidade viral por seus recursos únicos de rede social, enfrenta intenso escrutínio após sofrer seu segundo grande vazamento de dados este ano. Pesquisadores em cibersegurança confirmaram que mais de 72 mil fotos de usuários, incluindo selfies e documentos de identificação, ficaram expostas em um banco de dados desprotegido.
Este último incidente parece mais grave que o primeiro vazamento do app no início de 2023, já que os dados expostos incluem informações biométricas altamente sensíveis. Analistas de segurança destacam que enquanto o primeiro vazamento expôs principalmente dados textuais de usuários, este novo incidente envolve materiais de identificação visual que poderiam ser usados em esquemas sofisticados de roubo de identidade.
A análise técnica sugere que os dados estavam armazenados em um bucket de armazenamento em nuvem mal configurado, sem os devidos controles de acesso. Os registros expostos incluíam:
- Selfies de usuários (usadas frequentemente como fotos de perfil)
- Digitalizações de documentos oficiais (enviados para verificação de contas)
- Metadados de geolocalização embutidos nos arquivos de imagem
- Carimbos de data e hora de quando as imagens foram enviadas
Profissionais de cibersegurança estão particularmente preocupados com a inclusão de documentos oficiais de identificação. 'Quando você combina imagens faciais com documentos governamentais, está basicamente dando aos golpistas todos os ingredientes necessários para se passar por alguém', explicou Maria Chen, especialista em identidade digital da SecureFrame.
A empresa responsável pelo app Tea reconheceu o vazamento, mas afirma que nenhuma informação financeira foi comprometida. Porém, pesquisadores de segurança argumentam que os dados expostos ainda poderiam ser usados para:
- Criar identidades falsas
- Burlar verificações de identidade (KYC)
- Ataques de engenharia social
- Tentativas de tomada de controle de contas
Este incidente destaca os riscos crescentes associados a aplicativos que coletam dados biométricos sem implementar proteções adequadas. O Comitê Europeu de Proteção de Dados já iniciou uma investigação, enquanto reguladores norte-americanos estariam considerando supervisão mais rígida para apps que lidam com materiais de identificação sensíveis.
Para equipes de segurança corporativa, os vazamentos do app Tea servem como estudo de caso sobre a importância de:
- Implementar arquitetura de confiança zero para todos os dados de usuários
- Realizar testes de penetração periódicos em sistemas de armazenamento
- Minimizar a coleta de dados apenas ao essencial
- Criptografar arquivos sensíveis tanto em repouso quanto em trânsito
Enquanto as investigações continuam, recomenda-se que usuários afetados monitorem seus relatórios de crédito e ativem autenticação em dois fatores em todas as contas importantes. O incidente também levanta dúvidas sobre se as regulamentações atuais abordam adequadamente os riscos da coleta de dados biométricos em aplicativos para consumidores.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.