La violation de données de l'application Tea a exposé 72 000 fichiers et 1,1 million de messages privés, mettant en lumière les dangers du stockage d'identité centralisé et la nécessité de systèmes décentralisés pour protéger les utilisateurs.
Kee Jefferys, co-fondateur du messager décentralisé Session, a partagé son point de vue sur la récente violation de données de l'application Tea, expliquant comment cet incident souligne les dangers du stockage centralisé des identifiants et pourquoi les systèmes décentralisés sont mieux adaptés pour protéger les utilisateurs.
Tea, l'application conçue pour les femmes qui promettait une expérience de rencontre plus sûre, a fermé son système de messagerie suite à l'une des plus grandes fuites de données de l'année. Ce qui a commencé comme une plateforme virale pour aider les femmes à signaler des hommes potentiellement dangereux s'est terminé par le partage de millions de conversations privées et de documents d'identité sur des forums de fuite.
La violation, révélée fin juillet, a touché les utilisateurs qui ont rejoint avant février 2024. Au moins 72 000 fichiers ont été exposés, y compris des identifiants gouvernementaux que l'entreprise avait promis de supprimer après vérification. De plus, plus de 1,1 million de messages privés ont été compromis, allant des discussions quotidiennes à des discussions très sensibles sur les abus et la santé.
Les experts en sécurité affirment que l'effondrement était inévitable. Kee Jefferys a souligné que les systèmes qui collectent et centralisent les identifiants personnels créent la cible ultime. Une fois qu'une base de données contient des identifiants, des selfies et des métadonnées non chiffrées, les attaquants n'ont besoin de s'introduire qu'une seule fois pour accéder à tout.
De la promesse à l'exposition
Le thé est devenu populaire en fournissant des outils pour effectuer des recherches d'images inversées sur des profils de rencontre, effectuer des vérifications de fonds et créer un espace soi-disant sécurisé pour les femmes. Cependant, sa dépendance à la vérification obligatoire par selfie-ID était un défaut fondamental.
Selon les enquêteurs, la première fuite s'est produite lorsqu'un bucket de stockage non sécurisé, apparemment mis en place pour des demandes de conformité, a été laissé exposé. Des fichiers qui auraient dû être supprimés étaient encore accessibles et ont été rapidement copiés. Quelques jours plus tard, une vulnérabilité distincte a permis aux attaquants de télécharger en masse des archives de messages entières, sans aucune limite de vitesse ni cryptage pour les ralentir.
Ce qui était vendu comme protection a plutôt donné aux abuseurs potentiels une carte détaillée des interactions des utilisateurs, complète avec des horodatages et des données de localisation.
Pourquoi la centralisation échoue ?
Prenons le cas de Tea, par exemple. Cela souligne les problèmes persistants des systèmes centralisés : le stockage d'informations sensibles indéfiniment, la dépendance à des points de défaillance uniques et l'absence de cryptage fort. Contrairement aux mots de passe, les données biométriques comme les visages ne peuvent pas être facilement modifiées en cas de fuite. Des selfies volés peuvent être utilisés pour le vol d'identité, les deepfakes ou la création de faux comptes.
Jefferys note que même si les données sont chiffrées lorsqu'elles sont stockées, cela n'aide pas beaucoup si les clés de chiffrement sont stockées à côté. Le "qui, quand et où" des conversations numériques, connu sous le nom de métadonnées, reste particulièrement vulnérable à ceux qui essaient d'échapper à la surveillance ou au harcèlement.
Que pourrait-on faire différemment ?
Des conceptions alternatives existent qui auraient pu prévenir un tel effondrement :
Les preuves à connaissance nulle peuvent vérifier l'âge ou le sexe sans conserver de photos sensibles.
Les réseaux décentralisés peuvent distribuer des données à travers des nœuds, éliminant ainsi un jackpot unique pour les attaquants.
Le chiffrement de bout en bout peut rendre les messages illisibles même pour les serveurs qui les transmettent.
Selon Jefferys, adopter ces principes rendrait beaucoup plus difficile pour les attaquants d'extraire des données significatives. Au lieu qu'une seule violation expose tout, plusieurs barrières décentralisées devraient être brisées en même temps.
Temps pour les régulateurs d'agir
La défense de Tea, citant les ID conservés pour d'éventuelles enquêtes, révèle un écart de politique plus large. Les régulateurs exigent de plus en plus la vérification d'identité numérique mais appliquent rarement des règles strictes de suppression ou des mesures de sécurité décentralisées. Sans ces mesures, de nouvelles applications risquent de répéter les erreurs du passé sous le prétexte de sécurité.
L'effondrement de Tea illustre à quel point la confiance peut se dissiper rapidement lorsque des informations privées sont mal gérées. Les plateformes axées sur la sécurité ne peuvent pas se fier uniquement à des promesses. À moins qu'elles n'abandonnent le stockage centralisé des identifiants et n'adoptent des conceptions axées sur la confidentialité, elles risquent de devenir moins un refuge pour les femmes qu'un plan pour ceux qui souhaitent leur faire du mal.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
La violation de données de Tea transforme la sécurité des femmes en terrain de jeu pour les hackers
En Bref
La violation de données de l'application Tea a exposé 72 000 fichiers et 1,1 million de messages privés, mettant en lumière les dangers du stockage d'identité centralisé et la nécessité de systèmes décentralisés pour protéger les utilisateurs.
Kee Jefferys, co-fondateur du messager décentralisé Session, a partagé son point de vue sur la récente violation de données de l'application Tea, expliquant comment cet incident souligne les dangers du stockage centralisé des identifiants et pourquoi les systèmes décentralisés sont mieux adaptés pour protéger les utilisateurs.
Tea, l'application conçue pour les femmes qui promettait une expérience de rencontre plus sûre, a fermé son système de messagerie suite à l'une des plus grandes fuites de données de l'année. Ce qui a commencé comme une plateforme virale pour aider les femmes à signaler des hommes potentiellement dangereux s'est terminé par le partage de millions de conversations privées et de documents d'identité sur des forums de fuite.
La violation, révélée fin juillet, a touché les utilisateurs qui ont rejoint avant février 2024. Au moins 72 000 fichiers ont été exposés, y compris des identifiants gouvernementaux que l'entreprise avait promis de supprimer après vérification. De plus, plus de 1,1 million de messages privés ont été compromis, allant des discussions quotidiennes à des discussions très sensibles sur les abus et la santé.
Les experts en sécurité affirment que l'effondrement était inévitable. Kee Jefferys a souligné que les systèmes qui collectent et centralisent les identifiants personnels créent la cible ultime. Une fois qu'une base de données contient des identifiants, des selfies et des métadonnées non chiffrées, les attaquants n'ont besoin de s'introduire qu'une seule fois pour accéder à tout.
De la promesse à l'exposition
Le thé est devenu populaire en fournissant des outils pour effectuer des recherches d'images inversées sur des profils de rencontre, effectuer des vérifications de fonds et créer un espace soi-disant sécurisé pour les femmes. Cependant, sa dépendance à la vérification obligatoire par selfie-ID était un défaut fondamental.
Selon les enquêteurs, la première fuite s'est produite lorsqu'un bucket de stockage non sécurisé, apparemment mis en place pour des demandes de conformité, a été laissé exposé. Des fichiers qui auraient dû être supprimés étaient encore accessibles et ont été rapidement copiés. Quelques jours plus tard, une vulnérabilité distincte a permis aux attaquants de télécharger en masse des archives de messages entières, sans aucune limite de vitesse ni cryptage pour les ralentir.
Ce qui était vendu comme protection a plutôt donné aux abuseurs potentiels une carte détaillée des interactions des utilisateurs, complète avec des horodatages et des données de localisation.
Pourquoi la centralisation échoue ?
Prenons le cas de Tea, par exemple. Cela souligne les problèmes persistants des systèmes centralisés : le stockage d'informations sensibles indéfiniment, la dépendance à des points de défaillance uniques et l'absence de cryptage fort. Contrairement aux mots de passe, les données biométriques comme les visages ne peuvent pas être facilement modifiées en cas de fuite. Des selfies volés peuvent être utilisés pour le vol d'identité, les deepfakes ou la création de faux comptes.
Jefferys note que même si les données sont chiffrées lorsqu'elles sont stockées, cela n'aide pas beaucoup si les clés de chiffrement sont stockées à côté. Le "qui, quand et où" des conversations numériques, connu sous le nom de métadonnées, reste particulièrement vulnérable à ceux qui essaient d'échapper à la surveillance ou au harcèlement.
Que pourrait-on faire différemment ?
Des conceptions alternatives existent qui auraient pu prévenir un tel effondrement :
Selon Jefferys, adopter ces principes rendrait beaucoup plus difficile pour les attaquants d'extraire des données significatives. Au lieu qu'une seule violation expose tout, plusieurs barrières décentralisées devraient être brisées en même temps.
Temps pour les régulateurs d'agir
La défense de Tea, citant les ID conservés pour d'éventuelles enquêtes, révèle un écart de politique plus large. Les régulateurs exigent de plus en plus la vérification d'identité numérique mais appliquent rarement des règles strictes de suppression ou des mesures de sécurité décentralisées. Sans ces mesures, de nouvelles applications risquent de répéter les erreurs du passé sous le prétexte de sécurité.
L'effondrement de Tea illustre à quel point la confiance peut se dissiper rapidement lorsque des informations privées sont mal gérées. Les plateformes axées sur la sécurité ne peuvent pas se fier uniquement à des promesses. À moins qu'elles n'abandonnent le stockage centralisé des identifiants et n'adoptent des conceptions axées sur la confidentialité, elles risquent de devenir moins un refuge pour les femmes qu'un plan pour ceux qui souhaitent leur faire du mal.