تطبيق الشاي الذي ادعى حماية النساء يعرض 72000 معرفات في أمن الملحمة فشل

عانى شاي السلامة التي يرجع تاريخها النساء فقط من خرق بيانات هائل هذا الأسبوع بعد أن اكتشف المستخدمون في 4Chan أن قاعدة بيانات الواجهة الخلفية لم تكن مضمونة تمامًا-لا كلمة مرور ، ولا تشفير ، لا شيء.

النتيجة؟ أكثر من 72000 صورة خاصة – بما في ذلك صور شخصية ومعرفات حكومية تم تقديمها للتحقق من المستخدمين – تم كشطها ونشرها عبر الإنترنت في غضون ساعات. تم تعيين بعضها وجعلت قابلة للبحث. تم تسريب DMS الخاص. التطبيق المصمم لحماية النساء من الرجال الخطرين قد كشف للتو قاعدة المستخدمين بأكملها.

البيانات المكشوفة ، التي بلغ مجموعها 59.3 جيجابايت ، بما في ذلك:

• 13000+ صور شخصية للتحقق من المعرفات الصادرة عن الحكومة
• عشرات الآلاف من الصور من الرسائل والمشاركات العامة
• معرفات يعود تاريخها إلى عام 2024 و 2025 ، مما يتناقض مع ادعاء الشاي بأن الخرق ينطوي فقط على “البيانات القديمة”

قام مستخدمو 4Chan في البداية بنشر الملفات ، ولكن حتى بعد حذف مؤشر الترابط الأصلي ، استمرت البرامج النصية الآلية في تجريف البيانات. على منصات لا مركزية مثل BitTorrent ، بمجرد خروجها ، فإنها خارج إلى الأبد.

من التطبيق الفيروسي إلى إجمالي الانهيار

كان الشاي قد بلغ للتو رقم 1 على متجر التطبيقات ، حيث كان يركب موجة من الفيروسات مع أكثر من 4 ملايين مستخدم. ملعبها: مساحة للنساء فقط لـ “القيل والقال” عن الرجال لأغراض السلامة-على الرغم من أن النقاد رأوا أنه منصة “تتجول في الرجل” ملفوفة في العلامة التجارية للتمكين.

لخص أحد مستخدمي Reddit schadenfreude: “إنشاء تطبيق يركز على النساء لدوكسينج الرجال من الحسد. ينتهي الأمر بطريق الخطأ في التغلب على عملاء النساء. أنا أحب ذلك.”

تطلب التحقق من المستخدمين تحميل معرف حكومي وصورة شخصية ، من المفترض أن يتفقوا على حسابات مزيفة وغير واردين. الآن هذه الوثائق في البرية.

أخبرت الشركة 404 وسائل الإعلام أن “(ر) تم تخزين بياناته في الأصل وفقًا لمتطلبات إنفاذ القانون المتعلقة بالوقاية من البلطجة الإلكترونية.”

فك تشفير تواصل مع ولكن لم يتلق رد رسمي حتى الآن.

الجاني: “الترميز”

إليكم ما كتبه القراصنة OG. “هذا ما يحدث عندما تعهد معلوماتك الشخصية بمجموعة من المستأجر من DEI الترميز.”

“الترميز المتنقل” هو عندما يكتب المطورين “اجعلني تطبيق مواعدة” في chatgpt أو آخر من AI chatbot وشحن كل ما يخرج. لا مراجعة أمنية ، لا فهم لما يفعله الرمز بالفعل. مجرد ردود فعل إيجابية.

على ما يبدو ، لم يكن دلو Firebase من Tea's مصادقة صفر لأن هذا ما تنشئه أدوات الذكاء الاصطناعي افتراضيًا. وقال المتسرب الأصلي “لا مصادقة ، لا شيء. إنه دلو عام”.

قد يكون الترميز في الليبي ، أو ببساطة ترميز ضعيف. بغض النظر ، فإن الاعتماد المفرط على الذكاء الاصطناعى التوليدي يتزايد فقط.

هذا ليس بعض الحوادث المعزولة. في وقت سابق من عام 2025 ، شاهد مؤسس Saaster وكيل AI الخاص به حذف قاعدة بيانات الإنتاج بالكامل للشركة أثناء جلسة “الترميز المليء”. ثم قام الوكيل بإنشاء حسابات مزيفة ، وإنشاء بيانات مملحة ، وكذب عليها في السجلات.

بشكل عام ، وجد الباحثون من جامعة جورج تاون أن 48 ٪ من التعليمات البرمجية التي تم إنشاؤها من الذكاء الاصطناعى تحتوي على عيوب قابلة للاستغلال ، ومع ذلك ، فإن 25 ٪ من الشركات الناشئة y combinator تستخدم الذكاء الاصطناعي لميزاتها الأساسية.

لذا ، على الرغم من أن الترميز المفعول فعال للاستخدام العرضي ، كما أن عملاء التكنولوجيا مثل Google و Microsoft تصلي إنجيل الذكاء الاصطناعى الذي يزعم أن رواد الدردشة الخاصة بهم يبني جزءًا مثيرًا للإعجاب من التعليمات البرمجية الخاصة بهم ، فقد يكون المستخدمون العاديون وأصحاب المشاريع الصغار أكثر أمانًا للترميز البشري – أو على الأقل مراجعة عمل AIS بشكل كبير جدًا.

حذر عالم الكمبيوتر سانتياغو فالدراما على وسائل التواصل الاجتماعي: “الترميز المذهل رائع ، لكن الكود الذي تولده هذه النماذج مليئة بالثقوب الأمنية ويمكن اختراقه بسهولة”.

تزداد المشكلة سوءًا مع “slopsquatting”. تقترح الذكاء الاصطناعي حزمًا غير موجودة ، ثم يقوم المتسللون بإنشاء تلك الحزم المملوءة بالرمز الضار ، وتثبيتها المطورين دون التحقق.

مستخدمي الشاي يتدافعون ، ويظهر بعض المعرفات بالفعل على خرائط قابلة للبحث. قد يكون الاشتراك في مراقبة الائتمان فكرة جيدة للمستخدمين الذين يحاولون منع المزيد من الضرر.