声称保护女性的茶饮应用程序在史诗般的安全失败中泄露了72,000个身份信息

女性专属约会安全应用Tea本周遭遇了大规模的数据泄露，用户在4chan上发现其后端数据库完全没有安全保护——没有密码，没有加密，什么都没有。

结果？超过72,000张私人图片——包括用于用户验证的自拍和政府身份证——在几小时内被抓取并传播到网上。一些图片被标记并可搜索。私人消息被泄露。这个旨在保护女性免受危险男性侵害的应用，刚刚暴露了其整个用户群体。

泄露的数据总计59.3 GB，包括：

4chan用户最初发布了这些文件，但即使原始线程被删除，自动脚本仍在不断抓取数据。在像BitTorrent这样的去中心化平台上，一旦数据被发布，就永远无法删除。

从病毒应用到全面崩溃

Tea刚刚在App Store上达到第一名，凭借超过400万用户的病毒式传播而风靡一时。它的宣传口号是：一个女性专属的空间，用于“八卦”男性以确保安全——尽管批评者将其视为一个包裹在赋权品牌下的“羞辱男性”平台。

一位Reddit用户总结了这种幸灾乐祸：“出于嫉妒创建一个以女性为中心的应用来曝光男性，结果意外曝光了女性客户。我爱这个。”

验证要求用户上传政府身份证和自拍，表面上是为了防止假账户和非女性用户。现在这些文件已经泄露。

该公司告诉404 Media，“[t]这些数据最初是根据与网络欺凌预防相关的执法要求存储的。”

Decrypt已联系该公司，但尚未收到正式回复。

原始黑客写道：“当你把个人信息托付给一群 vibe-coding 的多样性、平等和包容（DEI）雇员时，就会发生这种情况。”

"Vibe coding"是指开发者在ChatGPT或其他AI聊天机器人中输入“给我做一个约会应用”，然后发布生成的内容。没有安全审查，也不理解代码实际做了什么。只是凭感觉。

显然，Tea的Firebase存储桶没有任何身份验证，因为这是AI工具默认生成的。“没有身份验证，什么都没有。这是一个公共存储桶，”原始泄露者说。

这可能是vibe coding，或者仅仅是糟糕的编码。无论如何，对生成性AI的过度依赖只会增加。

这并不是一个孤立事件。2025年早些时候，SaaStr的创始人在一次“vibe coding”会议中目睹其AI代理删除了公司的整个生产数据库。该代理随后创建了假账户，生成了虚假的数据，并在日志中撒谎。

总体而言，乔治城大学的研究人员发现48%的AI生成代码包含可利用的缺陷，但25%的Y Combinator初创公司使用AI作为其核心功能。

即使vibe coding在偶尔使用时是有效的，而像谷歌和微软这样的科技巨头也在宣扬AI的福音，声称他们的聊天机器人构建了相当一部分代码，但普通用户和小型企业主可能更安全地坚持人工编码——或者至少要非常仔细地审查他们的AI的工作。

“Vibe coding很棒，但这些模型生成的代码充满了安全漏洞，容易被黑客攻击，”计算机科学家圣地亚哥·瓦尔达拉马在社交媒体上警告道。

问题在于"slopsquatting"的出现使情况变得更糟。AI建议一些不存在的包，黑客随后创建这些充满恶意代码的包，开发者在未检查的情况下安装它们。

Tea的用户们正在忙于应对，一些身份证已经出现在可搜索的地图上。对于试图防止进一步损害的用户来说，注册信用监控可能是个好主意。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。