Close Menu
tisdag, juli 29
Datasäkerhet

Tea-skandalen: säkerhetsappen för kvinnor blev en massiv säkerhetsrisk

daniel larssonBy Updated:Inga kommentarer4 Mins Read
Kvinna som använder en mobil

Det började med ett tips på 4chan. ”Kolla det här”, skrev någon och postade en länk. Inom några timmar hade tusentals människor laddat ner 72,000 bilder från dating-appen Tea – selfies, körkort, och exakta GPS-koordinater. Allt låg öppet på nätet.

Ironin är svår att missa. Tea marknadsförde sig som en säkerhetsapp för kvinnor som skapade röda flaggor för män. Kvinnor kunde gå med i ett anonymt forum och lämna uppgifter om män som de dejtat, var intresserade av eller rapportera dåliga beteende från män. Nu hade själva appen blivit deras största säkerhetsrisk genom att sprida foton och id-kort av kvinnor.

Bakgrund: En app född av rädsla och oro

Tea skapades 2022 och lanserades året därpå av Sean Cook efter att hans mamma blivit lurad av en ”catfish” på nätet. Idén var enkel men kraftfull: ge kvinnor digitala verktyg att kontrollera män som de träffade via dejtingappar.

Appen erbjöd:

  • Bakgrundskontroller via offentliga register
  • Sökningar i brottsregister
  • Omvänd bildsökning för att upptäcka falska profiler
  • Ett forum där kvinnor kunde sätta ”röda flaggor” på problematiska män

För att verifiera att endast kvinnor använde appen krävde Tea en selfie, och i vissa fall även ID-handling. Företaget lovade att dessa raderades efter verifiering.

Hacket som inte var ett hack

Här kommer det märkliga: detta var egentligen inget hack. Det var inkompetens.

Säkerhetsforskare som granskat incidenten beskriver det som ”grundläggande vårdslöshet”. Tea hade konfigurerat sin Firebase-databas utan någon som helst autentisering. Vem som helst med rätt URL kunde komma åt allt.

Det är som att lämna ytterdörren vidöppen med en skylt: ”Värdesaker finns här.”

Omfattningen av läckan

De exponerade filerna innehöll:

  • 13,000 selfies och ID-handlingar från verifieringsprocessen
  • 59,000 bilder från användarinlägg och meddelanden
  • GPS-koordinater inbäddade i många selfies

Det sista är särskilt oroande. Forskare hittade bilder tagna nära:

  • Militärbaser
  • Privata hem
  • Arbetsplatser
  • Skolor

Märkligt nog saknades bilder från vissa områden som nedre Manhattan och Washington D.C., vilket tyder på att appen hade någon form av geoblockering för känsliga platser.

Varför biometrisk data är annorlunda

Säkerhetsexperter om biometriska risker:

  • Biometrisk data kan användas för att träna AI-system och skapa deepfakes
  • Till skillnad från lösenord kan ansiktsdata inte bytas ut
  • Stulna ID-handlingar tillsammans med selfies ger allt som behövs för identitetsstöld

Hur kunde det hända?

Flera faktorer samverkade:

1. Snabb tillväxt, bristande säkerhet Tea växte explosivt och blev nummer ett på App Store. Men säkerhetsinfrastrukturen hängde inte med.

2. Firebase-fällan Firebase är populärt eftersom det är enkelt. Men ”enkelt” blir lätt ”osäkert” utan rätt kompetens. Standardinställningarna är ofta för öppna.

3. Tillit som sårbarhet Tea bad om extremt känslig data (ID-handlingar) men implementerade inte motsvarande säkerhetsnivå.

Vad kan du göra för att skydda dig?

Om du använt Tea:

  1. Frys din kredit – Kontakta UC, Creditsafe och andra kreditupplysningsföretag
  2. Aktivera tvåfaktorsautentisering överallt, särskilt bank och e-post
  3. Övervaka för identitetsstöld – Flera företag erbjuder övervakningstjänster
  4. Var försiktig med nya selfie-krav – Din biometriska data kan redan vara komprometterad

För framtiden:

  1. Ifrågasätt selfie-verifiering – Är det verkligen nödvändigt?
  2. Läs säkerhetspolicies – Hur lagras din data? Var? Hur länge?
  3. Använd separata e-postadresser för dejtingappar
  4. Undvik att ladda upp ID-handlingar om det inte är absolut nödvändigt

Bredare lärdomar

Tea-incidenten är inte unik. Liknande läckor har drabbat:

  • Ashley Madison (2015): 37 miljoner användare
  • MeetMindful (2021): 2.3 miljoner profiler
  • Adult FriendFinder (2016): 400+ miljoner konton

Mönstret är tydligt: dejtingappar samlar extremt känslig data men investerar ofta för lite i säkerhet.

Vad händer nu?

Tea har bekräftat läckan och säger att de anlitat externa säkerhetsexperter. De hävdar att ”endast” användare som registrerat sig före februari 2024 påverkats.

Men för de drabbade är skadan redan skedd. Deras ansikten, namn och adresser finns nu i händerna på vem som helst. För alltid.

Konsekvenserna för de drabbade användarna kommer att vara långvariga, eftersom biometrisk data inte kan ändras eller ersättas.

Källor och vidare läsning

Rapporterad information:

  • 404 Media: Första att rapportera om incidenten (Juli 2025)
  • Företagsbekräftelse: Tea bekräftade läckan och att externa säkerhetsexperter anlitats
  • Omfattning: Användare registrerade före februari 2024 påverkades

Tidigare incidenter:

  • Krebs on Security: ”Ashley Madison Breach Analysis” (2015)
  • The Verge: ”MeetMindful Data Breach Exposed 2.3 Million Accounts” (2021)

Skydd och åtgärder:

  • Datainspektionen: ”Vad du kan göra vid en dataläcka”
  • Electronic Frontier Foundation: ”Surveillance Self-Defense Guide”
  • Identity Theft Resource Center: ”Biometric Data Breach Response”
Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.