Pelanggaran data aplikasi Tea mengekspos 72.000 file dan 1,1 juta pesan pribadi, menyoroti bahaya penyimpanan ID terpusat dan kebutuhan akan sistem terdesentralisasi untuk melindungi pengguna.
Kee Jefferys, salah satu pendiri messenger terdesentralisasi Session, membagikan pandangannya tentang pelanggaran data aplikasi Tea baru-baru ini, menjelaskan bagaimana insiden tersebut menyoroti bahaya penyimpanan ID terpusat dan mengapa sistem terdesentralisasi lebih cocok untuk melindungi pengguna.
Tea, aplikasi yang dirancang untuk wanita yang menjanjikan pengalaman kencan yang lebih aman, telah menutup sistem pesannya setelah salah satu pelanggaran data terbesar tahun ini. Apa yang dimulai sebagai platform viral untuk membantu wanita menandai pria yang berpotensi berbahaya berakhir dengan jutaan percakapan pribadi dan dokumen ID yang dibagikan di forum kebocoran.
Breach yang diungkapkan pada akhir Juli mempengaruhi pengguna yang bergabung sebelum Februari 2024. Setidaknya 72.000 file terpapar, termasuk ID pemerintah yang dijanjikan perusahaan untuk dihapus setelah verifikasi. Selain itu, lebih dari 1,1 juta pesan pribadi telah terkompromikan, mulai dari obrolan sehari-hari hingga diskusi yang sangat sensitif tentang penyalahgunaan dan kesehatan.
Para ahli keamanan mengatakan bahwa keruntuhan itu tidak dapat dihindari. Kee Jefferys menunjukkan bahwa sistem yang mengumpulkan dan memusatkan pengenal pribadi menciptakan target utama. Begitu sebuah database berisi ID, selfie, dan metadata yang tidak terenkripsi, penyerang hanya perlu masuk sekali untuk mengakses semuanya.
Dari Janji ke Eksposur
Teh menjadi populer dengan menyediakan alat untuk mencari gambar terbalik dari profil kencan, melakukan pemeriksaan latar belakang, dan menciptakan ruang yang konon aman bagi wanita. Namun, ketergantungannya pada verifikasi selfie-ID yang wajib adalah cacat mendasar.
Menurut penyelidik, kebocoran pertama terjadi ketika bucket penyimpanan yang tidak aman, yang tampaknya disiapkan untuk permintaan kepatuhan, dibiarkan terbuka. File yang seharusnya dihapus masih dapat diakses dan dengan cepat disalin. Beberapa hari kemudian, kerentanan terpisah memungkinkan penyerang untuk mengunduh seluruh arsip pesan secara massal, tanpa batasan kecepatan atau enkripsi yang memperlambat mereka.
Apa yang dijual sebagai perlindungan malah memberikan potensi penyalahguna peta rinci tentang interaksi pengguna, lengkap dengan stempel waktu dan data lokasi.
Mengapa Sentralisasi Gagal?
Ambil kasus Teh, misalnya. Ini menyoroti masalah yang terus-menerus dengan sistem terpusat: menyimpan informasi sensitif tanpa batas waktu, bergantung pada titik-titik kegagalan tunggal, dan kurangnya enkripsi yang kuat. Tidak seperti kata sandi, data biometrik seperti wajah tidak dapat dengan mudah diubah jika bocor. Selfie yang dicuri dapat digunakan untuk pencurian identitas, deepfake, atau membuat akun palsu.
Jefferys mencatat bahwa meskipun data dienkripsi saat disimpan, itu tidak banyak membantu jika kunci enkripsi disimpan bersamanya. "Siapa, kapan, dan di mana" dari percakapan digital, yang dikenal sebagai metadata, tetap sangat rentan terhadap mereka yang mencoba menghindari pengawasan atau pelecehan.
Apa yang Bisa Dilakukan Secara Berbeda?
Desain alternatif ada yang bisa mencegah kejatuhan seperti itu:
Bukti nol-pengetahuan dapat memverifikasi usia atau jenis kelamin tanpa menyimpan foto sensitif.
Jaringan terdesentralisasi dapat mendistribusikan data di seluruh node, menghilangkan jackpot tunggal bagi penyerang.
Enkripsi end-to-end dapat menjaga pesan tetap tidak terbaca bahkan oleh server yang meneruskannya.
Menurut Jefferys, mengadopsi prinsip-prinsip ini akan membuatnya jauh lebih sulit bagi penyerang untuk mengekstrak data yang berarti. Alih-alih satu pelanggaran yang mengekspos segalanya, beberapa penghalang terdesentralisasi harus dilanggar sekaligus.
Saatnya Regulator Bertindak
Pembelaan Tea, yang mengutip ID yang disimpan untuk potensi investigasi, mengungkapkan kesenjangan kebijakan yang lebih luas. Regulator semakin membutuhkan verifikasi ID digital tetapi jarang menegakkan aturan penghapusan yang ketat atau perlindungan terdesentralisasi. Tanpa langkah-langkah ini, aplikasi baru mungkin mengulangi kesalahan masa lalu dengan dalih keamanan.
Kebangkrutan Tea menggambarkan betapa cepatnya kepercayaan dapat memudar ketika informasi pribadi ditangani dengan buruk. Platform yang fokus pada keselamatan tidak dapat hanya mengandalkan janji-janji. Kecuali mereka meninggalkan penyimpanan ID terpusat dan mengadopsi desain yang berfokus pada privasi, mereka berisiko menjadi kurang tempat perlindungan bagi wanita daripada cetak biru bagi mereka yang ingin menyakiti mereka.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Pelanggaran Data Teh Mengubah Keamanan Perempuan Menjadi Arena Para Hacker
Secara Singkat
Pelanggaran data aplikasi Tea mengekspos 72.000 file dan 1,1 juta pesan pribadi, menyoroti bahaya penyimpanan ID terpusat dan kebutuhan akan sistem terdesentralisasi untuk melindungi pengguna.
Kee Jefferys, salah satu pendiri messenger terdesentralisasi Session, membagikan pandangannya tentang pelanggaran data aplikasi Tea baru-baru ini, menjelaskan bagaimana insiden tersebut menyoroti bahaya penyimpanan ID terpusat dan mengapa sistem terdesentralisasi lebih cocok untuk melindungi pengguna.
Tea, aplikasi yang dirancang untuk wanita yang menjanjikan pengalaman kencan yang lebih aman, telah menutup sistem pesannya setelah salah satu pelanggaran data terbesar tahun ini. Apa yang dimulai sebagai platform viral untuk membantu wanita menandai pria yang berpotensi berbahaya berakhir dengan jutaan percakapan pribadi dan dokumen ID yang dibagikan di forum kebocoran.
Breach yang diungkapkan pada akhir Juli mempengaruhi pengguna yang bergabung sebelum Februari 2024. Setidaknya 72.000 file terpapar, termasuk ID pemerintah yang dijanjikan perusahaan untuk dihapus setelah verifikasi. Selain itu, lebih dari 1,1 juta pesan pribadi telah terkompromikan, mulai dari obrolan sehari-hari hingga diskusi yang sangat sensitif tentang penyalahgunaan dan kesehatan.
Para ahli keamanan mengatakan bahwa keruntuhan itu tidak dapat dihindari. Kee Jefferys menunjukkan bahwa sistem yang mengumpulkan dan memusatkan pengenal pribadi menciptakan target utama. Begitu sebuah database berisi ID, selfie, dan metadata yang tidak terenkripsi, penyerang hanya perlu masuk sekali untuk mengakses semuanya.
Dari Janji ke Eksposur
Teh menjadi populer dengan menyediakan alat untuk mencari gambar terbalik dari profil kencan, melakukan pemeriksaan latar belakang, dan menciptakan ruang yang konon aman bagi wanita. Namun, ketergantungannya pada verifikasi selfie-ID yang wajib adalah cacat mendasar.
Menurut penyelidik, kebocoran pertama terjadi ketika bucket penyimpanan yang tidak aman, yang tampaknya disiapkan untuk permintaan kepatuhan, dibiarkan terbuka. File yang seharusnya dihapus masih dapat diakses dan dengan cepat disalin. Beberapa hari kemudian, kerentanan terpisah memungkinkan penyerang untuk mengunduh seluruh arsip pesan secara massal, tanpa batasan kecepatan atau enkripsi yang memperlambat mereka.
Apa yang dijual sebagai perlindungan malah memberikan potensi penyalahguna peta rinci tentang interaksi pengguna, lengkap dengan stempel waktu dan data lokasi.
Mengapa Sentralisasi Gagal?
Ambil kasus Teh, misalnya. Ini menyoroti masalah yang terus-menerus dengan sistem terpusat: menyimpan informasi sensitif tanpa batas waktu, bergantung pada titik-titik kegagalan tunggal, dan kurangnya enkripsi yang kuat. Tidak seperti kata sandi, data biometrik seperti wajah tidak dapat dengan mudah diubah jika bocor. Selfie yang dicuri dapat digunakan untuk pencurian identitas, deepfake, atau membuat akun palsu.
Jefferys mencatat bahwa meskipun data dienkripsi saat disimpan, itu tidak banyak membantu jika kunci enkripsi disimpan bersamanya. "Siapa, kapan, dan di mana" dari percakapan digital, yang dikenal sebagai metadata, tetap sangat rentan terhadap mereka yang mencoba menghindari pengawasan atau pelecehan.
Apa yang Bisa Dilakukan Secara Berbeda?
Desain alternatif ada yang bisa mencegah kejatuhan seperti itu:
Menurut Jefferys, mengadopsi prinsip-prinsip ini akan membuatnya jauh lebih sulit bagi penyerang untuk mengekstrak data yang berarti. Alih-alih satu pelanggaran yang mengekspos segalanya, beberapa penghalang terdesentralisasi harus dilanggar sekaligus.
Saatnya Regulator Bertindak
Pembelaan Tea, yang mengutip ID yang disimpan untuk potensi investigasi, mengungkapkan kesenjangan kebijakan yang lebih luas. Regulator semakin membutuhkan verifikasi ID digital tetapi jarang menegakkan aturan penghapusan yang ketat atau perlindungan terdesentralisasi. Tanpa langkah-langkah ini, aplikasi baru mungkin mengulangi kesalahan masa lalu dengan dalih keamanan.
Kebangkrutan Tea menggambarkan betapa cepatnya kepercayaan dapat memudar ketika informasi pribadi ditangani dengan buruk. Platform yang fokus pada keselamatan tidak dapat hanya mengandalkan janji-janji. Kecuali mereka meninggalkan penyimpanan ID terpusat dan mengadopsi desain yang berfokus pada privasi, mereka berisiko menjadi kurang tempat perlindungan bagi wanita daripada cetak biru bagi mereka yang ingin menyakiti mereka.