- Aplikace Tea App si dávala za cíl ochránit ženy před podvodníky a násilníky
- Kvůli absenci moderace a problematickému zabezpečení však skončila jako odstrašující případ
- Kauza vyústila v únik dat prakticky všech uživatelek, včetně jejich dokladů totožnosti a fotek
Nenápadná aplikace Tea App, možná jste o ní nikdy neslyšeli. Už její samotná podstata ale budí kontroverzi, jedni ji nenávidí, podle jiných je přínosná a důležitá pro internetové randění. Je s ní však spojena jedna z největších kauz v oblasti digitálního soukromí za dlouhou dobu. Navíc ukazuje, jak důležité jsou (nejen) v dnešní době systémy interního zabezpečení u masově používaných aplikací.
Anti-mužská aplikace Tea App
Aplikace Tea App vznikla v roce 2023 se striktním zaměřením pouze na ženy. Ty zde mohly anonymně vytvářet profily mužů, se kterými byly na rande, a dávat tak zpětnou vazbu dalším ženám. U každého profilu stačilo přidat fotografie muže a krátce popsat, jak rande probíhalo. Ostatní uživatelky pak mohly mužské protějšky komentovat a hodnotit vlaječkou (green flag = v pořádku, red flag = varovný signál, špatné rande).
V červenci letošního roku už aplikace hlásila 4,6 milionu uživatelek, převážně z USA. Jenže bohulibý záměr nebyl zcela naplněn. Kritici už od začátku hovořili o problematickém doxingu, tedy zveřejňování údajů (často třeba telefonních čísel mužů či fotek) bez svolení majitelů.
K tomu se přidala i další kontroverze. Často docházelo k tomu, že další ženy hodnotily muže čistě podle vzhledu: tedy hodnoceného pána nikdy neviděly, ani s ním nebyly na rande, ale působil na ně špatně, proto mu vystavily červenou vlaječku. Zakladatel Tea App Sean Cook řekl Business Insideru, že právní oddělení jeho firmy dostává klidně i tři předžalobní výzvy denně. „Existuje spousta lidí, kteří nejsou spokojeni s tím, co děláme, a nám to nevadí. Věříme, že se jedná o veřejnou službu,“ prohlásil.
Dva masivní úniky dat
Podle kritiků dochází každodenně k diskreditaci mužů bez práva na obranu nebo vysvětlení. Aplikace byla kritizována i za to, že postrádá byť elementární kontrolní systémy, nedochází k moderování obsahu a prakticky vše je v rukou místy ne zcela férové komunity. Experti rovněž poukazovali na to, že interní bezpečnostní systémy a prvky ochrany uživatelů (v tomto případě uživatelek) nejsou nastaveny správně. Schylovalo se ke katastrofě.
Ta přišla v druhé polovině července. V oficiálním prohlášení vedení Tea App uvedlo, že „došlo k narušení staršího systému pro ukládání dat, což mělo za následek neoprávněný přístup k datovému souboru z období před únorem 2024“. Není přitom jasné, zdali byl útok řízený skupinou odpůrců, v každém případě to poukázalo na chabé zabezpečení aplikace.
Balíček uniklých dat měl obsahovat 72 tisíc obrázků, včetně přibližně 13 tisíc selfie a identifikačních fotografií odeslaných uživatelkami během ověřování účtu. Zde je důležité zmínit, že aplikace vyžadovala pro registraci ověření platným dokladem totožnosti – aby se předešlo tomu, že se do Tea App pod falešnou identitou zaregistrují muži. Únik dat tedy obsahoval i kriticky citlivé snímky občanských a řidičských průkazů.
První únik ukázal, že odcizená data nebyla nijak šifrovaná ani zaheslovaná. Navíc byla na serverech Tea App v této nestřežené formě uložena déle, než bylo nutné, a tvůrci tak porušili pravidla osobních údajů. Firma tehdy argumentovala tím, že data ukládala déle, než měla, aby „naplnila požadavky orgánů činných v trestním řízení týkající se prevence kyberšikany“. To je však v přímém rozporu s tím, že samotný obsah de facto pozbýval jakoukoliv moderaci.
Jen pár dní nato přišel druhý, ještě větší únik. Součástí něj bylo 1,1 milionu soukromých konverzací mezi uživatelkami aplikace od února 2023 do července 2025; opět bez zjevného šifrování. Co je snad ještě horší, podle reportu 404 Media mohou držitelé odcizených dat snadno spojit „anonymní“ profily uživatelek s jejich účty na sociálních sítích, kde vystupují pod svými skutečnými jmény. Přestože to vedení Tea App oficiálně nepřiznalo, s velkou pravděpodobností došlo k úniku dat drtivé většiny ze 4,6 milionu uživatelek.
Data v nesprávných rukou
Bohulibý cíl navrhnout kompaktní aplikaci, která chrání ženy před podvodníky, násilníky a pomáhá najít ideálního partnera, se tak zvrtnul v hororový únik těch nejcitlivějších dat, jako jsou kontaktní údaje, fotografie a skeny dokladů totožnosti. Tato data se začala krátce po úniku objevovat na hackerských portálech, torrentových serverech a megafóru 4chan. S jistotou tak data týkající se uživatelek skončila v držení přesně těch, před kterými se je Tea App snažila bránit.
Příběh pravděpodobně pro Seana Cooka a jeho tým neskončí dobře. V americkém státě Kalifornie byla podána hromadná žaloba, pod kterou je podepsán nespecifikovaný počet uživatelek Tea App. Požadují, aby žalovaná strana nesla odpovědnost za škody, které způsobila a „bude i nadále způsobovat tisícům dalších osob v podobné situaci v rámci rozsáhlého a preventabilního kybernetického útoku“. Advokátní kancelář očekává, že hromadných žalob bude přibývat.
Třešnička na závěr: v reakci na Tea App vznikla dokonce i mužská aplikace jménem Teaspill. Pikantní na tom však je, že aplikace nefunguje zcela na komunitní bázi (jako Tea App), ale muži zde více méně pro zábavu hodnotí ženy, jejichž data byla odcizena v rámci dvou masivních úniků.
