女性向けデート安全アプリ「Tea」がまさかの情報漏洩!ユーザーIDが4chanに流出する衝撃事態!
引用元:https://news.ycombinator.com/item?id=44684373
4chanやCNetでの情報に関する追加情報だよ。
https://www.reddit.com/r/4chan/comments/1m8z2w4/4chan_the_ha…
https://www.cnet.com/tech/services-and-software/tea-app-brea…
アーカイブのリンクはこれだよ。
http://archive.today/U5TahFreewalled
そのサイト、ダウンしてる?俺はnginxのデフォルトページしか見れないんだけど。
archiveとCloudflareの間にはずっと対立があるみたいだよ。
https://jarv.is/notes/cloudflare-dns-archive-is-blocked
あれ、ダウンしてないみたいだけど?
plain HTTP版をリンクしたんだけど、どうもリダイレクトとかTORに依存してるみたい。
~ $ curl -vLsq http://archive.today/U5Tah |& grep -Ei ’location:|title’
< Location: https://archive.today/U5Tah
< onion-location: http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/U5Tah
< location: https://archive.ph/U5Tah
<title>archive.ph</title>
何とも言えないけど、SNIの問題に似てるかな。
特定のDNSプロバイダでこの問題見たことあるよ。Google DNS(8.8.8.8)なら問題ないんだけどね。
これってPeepleの女性版みたいなもんじゃない?Peepleは偏見や誹謗中傷を排除できなくて失敗したよね。
嫉妬とかで嘘を広められたら、就職やデートに影響が出る。
Teaってどうやって合法にしてるの?名誉毀損の時限爆弾でしょ?
そのロジックならGlassdoorとかYelp、Googleレビューも違法ってことになっちゃうの?
雇用時の身元確認はどうなるのさ?
違いは、Glassdoorとかは法人を評価してるってこと。
Teaは個人に関する情報を共有してるよね。俺の国じゃ、個人のデータを同意なしで共有するのはダメなんだよ。
俺的にはグレーゾーンだけど、父親としては娘がアプリ使うのは良いことだと思うね。毎年、男のパートナーに殺される女性の数って統計見ればわかるし。
こんな恐怖を広めるのは良くないよ。統計的に見ても、パートナーに殺される女性なんて0.05%未満でしょ。これじゃ男性全体を危険な野蛮人ってレッテル貼ることになるじゃん。
このアプリって多分、ほとんどUSベースなんだろうね。USではさ、他人について意見を言うのは表現の自由として守られてるんだよ。
このアプリって、リアルな変態とか加害者がつけ狙ったり、操ったりするのに絶好の場所みたいだよね。安全を提供するっていう主張は、ただの空っぽな言い分だよ。
IDスキャンでの本人確認は、たくさんの理由で全然安全じゃないよ。月2ドルとかの少額課金にした方がマシだったね。それなら荒らしの99%は消えるし、運営側もIDスキャンなしで名前とか住所とかの請求情報にアクセスできる。有料で荒らす人も、正確な本人情報入れないと入れないわけ。管理者は本当の身元を知れるけど、ユーザーは仮名でいい。でも、そんなんじゃ会社は超成長できないし、IndiaやChinaのユーザーも逃しちゃうもんね!/皮肉
「俺の国じゃ、本人の許可なく個人データ共有はダメだ」って言うけどさ、じゃああんたの国じゃ、第三者との経験を本人の許可なく話すのもダメってこと?それってかなり抑圧的に聞こえるけど、実際にはそんなことない管轄区域っていっぱいあるからね。
こいつら、問題の男たちの画像を勝手に投稿してるんだよ。
もしそれがわいせつ画像(リベンジポルノ法)、著作権ある画像で許可なし投稿、あるいは宣伝や推薦目的じゃなければ、USでは基本的に合法だよ。特に有名人じゃなければ、大抵大丈夫。
人種別に交際相手からの暴力を語ると、人種差別にもつながるんだよ。誰も得しない、バカげた議論だね。
意見を言うのは表現の自由で守られてるけど、嘘をつくのはいつも守られるわけじゃないよ。特に、誰かに金銭的な損害を与える目的があるならね。
もし男女を逆にして、「女は男を操ろうと必死だよ。月2ドルでマシな女を手に入れられる」って書いたら、大騒ぎで非難されるだろうな。でも、男をひとくくりにして人口の半分を貶すのは完全に普通で許されるってわけだ。おかしいだろ。
俺の出身は米国じゃないってことだな。米国はたぶん世界で一番「言論の自由」について理解してる国だからな。
問題は発言じゃなく結論だと思うんだ。男から女への身体的暴力が多いのは事実だけど、それは生物的なものか、教育や文化の問題か?後者なら「性差別」じゃないし、むしろ問題解決に役立つかも。悪人を警戒すればいいだけさ。この話は慎重にすべきだな。特定の集団に問題があるかを調べるのは良いことだけど、「人種ごとの暴力を見て、ある人種全体を一般化して偏見を持つ」のはバカだよ。
女性向けデート安全アプリが、女性が嘘をついて男性を傷つけようとしてるためのものだとでも思ってるの?男性が女性をストーキングしたり性的に暴行したりするのは珍しいとでも?
米国では合法だって?Teaが米国市民の情報しか報告しないならいいけど…まさかな。ヨーロッパのプライバシー、肖像権、同意に関するたくさんの法律に違反してるんだよ。写真投稿だけでもこれだけ。名誉毀損や中傷は別だし、反論権もある…リストは長いな。またしても、法律をかいくぐろうとするやつがいたってことだ。
他人の「事実」を共有するのは、米国では名誉毀損になる可能性がある。個人的な経験について具体的な主張をするのは、新しい客観的な事実を議論に導入するってことで、法的リスクが伴うんだ。ケン・ホワイト(@popehat)が言ってたけど、名誉毀損の相談で一番多かったのが、過去の恋人の悪口を言って訴えられたケースなんだって。ほとんどの場合真実でも、証明したり弁護したりするのが難しいらしいよ。
完全に自由?まさか。トランプや政府を批判したらダメなんだろ?あるいはイスラエル入植に反対したり、パレスチナ人の人道的な扱いに賛成したり、ジェフリー・エプスタインの顧客に関する情報を持ってたりしたら…な。
統計はもっと複雑だよ。パートナー関係でのあらゆる暴力は男女同程度だけど、身体的暴力で起訴されるのは異性愛関係では男性が多いんだ。でも同性愛関係では同じ割合だ。性的二型性が関係してるのかも。男は平均的に体格が大きくて力があるから、喧嘩で力を使う傾向があるし、拳の方がダメージを与えやすいんだ。男が生物的に暴力的ってわけじゃない。教育や文化の問題かもだけど、体格差がある人が喧嘩で力を悪用しないようにするのは、集団レベルでは難しい問題だよな。
名誉毀損は虚偽の事実(または直接的な示唆)に基づくものだよ。損害賠償の対象となる名誉毀損は、 quantifiable damages を引き起こす虚偽の主張か、それ自体が有害とみなされる特定かつ限定的なリストだね。 opinion は名誉毀損にはならないのが原則。アプリ提供者は、ユーザーが作った名誉毀損コンテンツについて、 specifics でそれを material encourage したと示せない限り、 US law では責任を負わないよ。
俺の point がよく分からないな。「あらゆる形の暴力」は主観的で、文化によっても違うから、建設的な方向じゃない。異性間のデートの最初の段階では、男性も女性と同じくらいリスクがあるってのは説得力がないね。問題は、可視化された問題を人種差別や性差別の道具にすることだよ。
これってプライバシー問題で shutdown した Lulu と全く同じだよね。URL: https://en.wikipedia.org/wiki/Lulu_(app)
もっとコメントを表示(1)
カップルの体格の話ばっかりで、それを gender でひとまとめにするのは、すごく見当違いな警戒心や判断につながるから、本当に terrible terrible な idea だと思うね。
この種のアプリは数年ごとに誰かが試すけど、すぐに最悪のユーザーばかりになって cesspool になるんだ。結局 shutdown されて、みんな忘れると、また誰かが brilliant idea を思いつく。 sincere な気持ちから作られても、悪意ある bad actors がたった 0.1% でもいれば、15万人以上がそれを weaponize する可能性があるってことだね。
なんでそれがカップルの specific な 2 人の体格の問題になるの? violent behavior は education の問題であって、体格の大きさじゃないと思うんだけど。例えば、親は子供より強いけど、 violent になるのは一部の親だけだろ? 俺は男だけど、この問題を men vs women の枠組みで捉えて、個人的に受け止めるのは pointless だと思うね。
それだけじゃなく、このアプリは男性を platform から exclusion しているから、 Section 230 の protection を forfeit してると思うね。だから platform に掲載されたどんな defamation に対しても direct に liable になるだろうね。
どこからこの numbers を持ってきたか知らないけど、 2021年には女性の 34% が partner に殺されてて、 76% が known person( family, friends, colleges, partner )に殺されてるよ。 URL: https://bjs.ojp.gov/female-murder-victims-and-victim-offender…
financial services に direct に engaged してない company が government IDs を request するのを止めるべきだね。 Facebook もこんな disaster な ”app” も、 ID を demand するべきじゃない。 tens of thousands の人々が identity theft の対象になるのは、誰かがこれを ethically dubious な social networking site の neat な growth hacking pattern だと思ったからだ。
残念ながら俺らの一部にとっては、 UK は逆の方向に進んじまったね。今は特定の websites に access する前に age verification (または VPN) が必要だよ。URL: https://theconversation.com/porn-websites-now-require-age-ve…
”安全なツール”なんてないよ、今オンラインでIDを認証する安全な方法はないし、どの会社もまともにやれるわけない。先週も俺の個人情報が、ちゃんとやってるはずの身元確認会社の情報漏洩に巻き込まれたばかり。
暗号技術と政府の支援があれば、プライベートなやり方は絶対100%実現可能なんだけど、誰も試そうとしないみたいだね。
イギリスの新しい『ポルノID』法については、人が死ぬぞ。ポルノ閲覧履歴が漏れたら、みんな自殺するだろうね。民間企業は信用できない、彼らは必ず人々の履歴を本物のIDと紐付けるんだから。
画像を安全に受け取って、それをデータベースと安全に照合して、答えを返して、その後画像を安全に削除するのって、どれくらい難しいんだろう?
正直、私たちがやってる色々なことの中で、そんなに難しくないと思うんだけどな。
安全なKYC APIは、AppleやGoogleが開発者に提供すべき便利なサービスになるだろうね。IDをスキャンして、許可があれば個々の情報をアプリや複数のアプリに開示できるんだ。もしすでに存在してて、このアプリが使ってなかっただけならごめんね。
AppleがiOS26でそういうサービスを出すよ。
https://developer.apple.com/videos/play/wwdc2025/232/
あぁ、ウェブ標準なんだね、いいね。Googleもやってるみたい。
https://developer.chrome.com/blog/digital-credentials-api-or…
関連するウェブ標準へのリンク:
https://www.w3.org/TR/vc-data-model-2.0/
これはアメリカではmDL(モバイル運転免許証)のことだね。まだ新しい技術で、広く利用されたり普及したりはしてないけど。
https://www.nccoe.nist.gov/projects/digital-identities-mdl
面白いね、ありがとう。それって他のユーザーが言ってたブラウザのDigital Credentials APIに繋がるはずだよね。
あるいは、『アプリ』開発者にそんな情報を提供することを拒否することもできるんじゃないかな。
俺はGoogleにIDを見せるつもりはないね、特に外国企業でデータ収集の履歴も怪しいんだから。
政府が強制するから、いずれは怪しいデータ収集履歴がある外国企業にもIDを見せることになるんだろうな。
ユーザーを匿名化したままサイトが情報を確認できる検証可能なクレデンシャルプロトコルってのがあるんだよ。基本的な暗号技術でできるけど、需要がないとインフラは育たない。じゃないとみんな手っ取り早い方に流れるからね。
偽造IDの作成や所持の罪と、それを使う“uttering”って呼ばれる罪は別物なんだって。簡単な解決策は、政府職員や規制された銀行員以外に対する“uttering”は非犯罪化することだよ。
性的な詳細が少しでも言及されたら、それはポルノサイトと見なされて、18歳以上限定の匿名ではない登録が必要になるべきじゃないの?
冗談だろ、なんでユーザー認証に必要な時間より一瞬でも長く運転免許証の画像を保存してたんだ?
まさにこれ。適切な規制で高額な罰金が科されるべきだね。企業には悪質な行為に対する罰がほとんどない。理想は収益の10%くらいの罰金。今回みたいなひどい過失の場合は、LLCの枠を超えて株主の個人資産からも回収できるようにすべき。消費者保護があればなあ。
規制がなければ、Teaみたいなアプリはユーザーの信頼が命。でも、今回の情報漏洩の深刻さをユーザーが理解できないか、気にせずアプリを使い続けるかもって心配だよ。Grindrの例もあるしね。ただ、TeaはSNSでかなり話題になってるから、ユーザーが会社のひどさを理解して、アプリを使い続けるか乗り換えるか決めるきっかけになるといいな。
“奴らは俺を信じてる。バカ野郎どもめ…”
アプリのメイン画面で、今回の情報漏洩を現在のユーザーや将来のユーザーに一定期間(1、2年とか?)目立つように開示するよう義務付けるのはどう?レストランの衛生評価みたいにね。ユーザーの信頼が一番大事な資本だってのは他のコメントでも指摘されてるけど、短いニュースサイクルだと意外と早く回復しちゃうかもね。
企業、特にアメリカの企業は、データを負債じゃなくて資産と見てるんだよ。ヨーロッパのGDPRはそれを変えようとしてるけど、まだまだ大変な道のりだね。
適切な規制によって、この件は高額な罰金を科されるべき犯罪にするべきだよ。それに、エンジニア個人にも何らかの法的罰則が必要だね。会社に罰金を科すだけじゃ、最初にそれを作った人たちの行動は何も変わらないからさ。
せめて、公的な事後検証をしてほしいね。開発者はどうして極めて個人的なユーザーデータを暗号化せず、公開されているデータベースに保存したんだろう?何層もの管理職が、暗号化されていない極めて個人的なユーザーデータを公開データベースに保存することを承認したんだ?何回もテストしたのに、なんで極めて個人的なユーザーデータが暗号化されずに公開データベースに保存されてるって見つけられなかったんだ?
「開発者はどうして極めて個人的なユーザーデータを暗号化せず、公開されているデータベースに保存したんだろう?」って話だけど、この「Tea」のCEO、Sean CookはSalesforceやShutterflyみたいなトップ企業でプロダクト開発チームを率いた実績があるらしいよ。もし運が良ければ、ピエロみたいなやつがこのクズをコーディングしたんだろうね。もし運が悪ければ、彼が誰かにやらせたけど、トップ企業を率いた実績があるにもかかわらず、一度もチェックしなかったってことだ。CEOが直接責任だよ。https://www.teaforwomen.com/about
うわー、この会社って創設者とSNSディレクターだけなの?「トップのベイエリアのテック企業でプロダクト開発チームを率いた実績」とかって、アバウトページにいくら立派な言葉を並べても、実際の能力とは何の関係もないってことだよね。俺は「プロダクト開発チームを率いた実績」なんてないけど、もしスタートアップをやるなら、こんな素人レベルの明らかな間違いは絶対にしないね。
もっとコメントを表示(2)
第三者機関の監査員に事後検証を行わせて、その結果を公開するのを義務付けるっていう規制のアプローチは面白いかもね。会社は自分たちのミスを晒されて恥をかくし、業界の残りの企業も、どのやり方が安全で危険なのかをより多く学べるし。例えば、NTSBの調査報告書みたいな感じだね。
アメリカでは、PEとかBar、USMLE、CPAみたいな専門資格が存在してて、合法的に仕事をするのにこの資格が必要な場合があるんだ。個人の命や生活、そして公共が、その専門家の判断によって危険にさらされる業界で、通常これらの資格が求められるんだよね。このスレッドの他のコメントにもあるけど、もし1万とか10万ユーザー以上のアプリを提出/署名するのに認定された人のハンコが必要で、それが個人のリスクや資格喪失の可能性を伴うなら、状況はすぐに変わると思うよ。個人的には、これ以上のゲートキーピングとかソフトウェア配布への規制導入には賛成じゃないんだ(AppleやGoogleはすでに権力持ちすぎてるし)。それに、国際的な文脈でどう機能させるかも分からないけど、AppleやGoogleがこの問題に取り組みたいなら、アメリカの企業にとっては簡単に実装できるだろうね。もっと大きな問題は、社会としてデータ漏洩とかずさんな開発慣行を「本当の害」だと認識してないことだと思うよ。でも、潜在的に暴力的だったり攻撃的だったりする人や、安全でない人について話してる人たちの住所とか個人情報を晒すのは、すごく危険だよね。
彼らはそうすべきじゃないけど、これはデザイン上、他人の写真(許可があるかないかに関わらず)やそれに関するゴシップも保存するゴシップアプリみたいだね。彼らはプライバシーを重視していないみたいだよ。
裏付ける証拠は全くないんだけど、俺の野生の勘なんだけどね。質問と潜在的な答えがあるんだけど、このアプリはどうやって収益化するつもりだったんだろう?ユーザーデータ、つまり運転免許証情報から電話番号までを売るつもりだったんじゃないかなって推測してるよ。
別のメディア報道によると、新規アカウント認証の承認待ちが17時間だったらしいね。4channerたちが手に入れたのは、その承認待ちのキューだったのかもしれないね。
違うよ。彼らが手に入れたのはもっと多くて、23GBものファイルがあったんだ。
それって一部のアーカイブだろ。他にも55GBのデータがあるらしいぜ。
皮肉な見方だけど、一部の社員がユーザーデータに無制限にアクセスしてたんだろうなと感じる。女性の安全を高めるって言ってたツールが、実際は女性の非常にデリケートな個人情報を集めるためのハニーポットだったってのは、まさに病的な皮肉だぜ。
正直、彼らに悪意があったかなんて関係ない。彼らの無能さと不注意が、結局同じ結果を招いたんだからな。
「vibe coding」の誇大広告は好きじゃないけど、このアプリが本当にその方式で開発されたって証拠でもあるのか?
PII(個人特定可能情報)は毒物として扱うべきだ。できるだけ少量だけ保管して、使い終わったらすぐに捨てる習慣をつける必要があるぜ。
個人情報は通貨として扱えると思うんだ。例えば、俺のSSNの9桁をあんたが保存するなら、その見返りに俺はCEOの船の名前を保存させてもらうぜ。
みんなEUのGDPRに文句言ってるけど、ほとんどは敏感なデータを永遠に保存しないとか、常識的な内容だろ。責任を負わせる法律がなきゃ、会社は何もしないぜ。俺が働いたほとんどの会社は、安上がりだし後で何に使えるか分からないから、全部データを永遠に保存してるぜ。
確証はないけど、これが元のスレッドかもな:https://archive.4plebs.org/pol/thread/511313558
「DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!」
Tea Appはユーザーの認証提出物を公開Firebaseストレージバケットにアップロードしてたらしいぜ。「attachments/」のプレフィックス付きでな。Tea Appに顔写真や運転免許を送ったなら、お前は公開されたってことだ!認証も何もなし。公開バケットだったんだな。俺はバケットをスクレイピングして画像をダウンロードするPythonスクリプトを書いたから、お前もそこに含まれてるか見れるぜって言ってるな。[link, now offline]
掲載されてる画像は生データで検閲されてないぜ。これぞ”匿名”アプリって感じだな。個人情報を”vibe-coding DEI hires”に預けるとこうなるってことだ。こんなに個人データをずさんに扱うのは、重大な犯罪であるべきだぜ。何千人もの人間にパスポートや個人情報をスキャンさせて、そのコピーを街中に放置したら、俺は間違いなく起訴されるだろうな。
個人情報を特定する「doxxing」アプリが、匿名の人間にぶっ壊されるって皮肉、マジで半端ないな!
DV発生率が高いんだから、対策したいと思うのは当然じゃん。
私もオンラインデートで前の男からひどい目にあったって話を聞いたことあるし、男のひどい振る舞いやミソジニーが普通になってるってこと忘れちゃダメだよね。
「音信不通」とか「既婚者」も危険信号って、それは安全とは違うただの言い訳だろ。まともな安全アプリは作れないとか最悪だけど、開発者は問題を知ってたはずだよ。
「One user’s story stands out」って話も、結局何も起きてないし、暴力の内容も不明じゃん。「It’s expected that anon is misogynist」とか、知らない人を決めつけるのはどうなの?
これはデリケートな問題で、中世の晒し台みたいにしちゃダメだろ。
最近の社会は、男はみんな連続殺人犯の可能性って感じで、女はちょっとした行動も危険信号として見るよう仕向けられてる。これはPTSDと関連するパラノイア症候群って言われたりもするんだ。
実際の暴行を軽視するわけじゃないけど、過度な警戒が信頼を壊してるって側面もある。DVがあったら、ネットで晒すんじゃなくて、法執行機関に任せるべきだよ。
一般の人はコンピューターリテラシーが低いって考えた方がいいよ。多くの人は、データがどこに行ってどう使われるかとか、コンピューターで何が起こるかなんて、実際には知らないみたいだし。彼らにとっては魔法みたいに見えるんだろうね。
ある男は初デートに大人のおもちゃを持ってきたり、別の男はデート断られたら「汚い女」って言ったりしてたって話だよ。
40代になって初めて、女友達がどれだけ性的暴行とか支配的な行動に遭ってたか知ったんだ。
だから、女が警戒するのは合理的だと思う。このサイトが正しい解決策だとは思わないけど、動機はすげー分かるよ。
被害者非難は間違いだよ。確かに、もっと注意できたかもしれないけど、それは彼らのせいじゃないんだから。
