En Resumen
- La aplicación de citas Tea sufrió una violación masiva que expuso más de 72.000 imágenes privadas y 13.000 identificaciones gubernamentales tras descubrirse su base de datos desprotegida.
- Los usuarios de 4chan extrajeron y difundieron 59,3 GB de datos en cuestión de horas, contradiciendo las afirmaciones de Tea sobre que solo involucraba "datos antiguos".
- El incidente se atribuyó al "vibe coding", donde desarrolladores usaron IA sin revisión de seguridad, dejando el bucket de Firebase completamente público y sin autenticación.
La aplicación viral de seguridad para citas solo para mujeres, Tea, sufrió una enorme violación de datos esta semana después de que los usuarios en 4chan descubrieran que su base de datos backend estaba completamente desprotegida, sin contraseña, sin cifrado, nada.
¿El resultado? Más de 72.000 imágenes privadas, incluidos selfies e identificaciones gubernamentales enviadas para verificación de usuarios, fueron extraídas y difundidas en línea en cuestión de horas. Algunas fueron mapeadas y se hicieron buscables. Los mensajes directos privados fueron filtrados. La aplicación diseñada para proteger a las mujeres de hombres peligrosos acababa de exponer a toda su base de usuarios.
Los datos expuestos, que sumaban 59,3 GB, incluían:
- Más de 13.000 selfies de verificación e identificaciones emitidas por el gobierno
- Decenas de miles de imágenes de mensajes y publicaciones públicas
- Identificaciones con fechas recientes de 2024 y 2025, contradiciendo la afirmación de Tea de que la violación solo involucraba "datos antiguos"
Los usuarios de 4chan publicaron inicialmente los archivos, pero incluso después de que se eliminara el hilo original, scripts automatizados continuaron extrayendo datos. En plataformas descentralizadas como BitTorrent, una vez que se publica, queda publicado para siempre.
De la aplicación viral al colapso total
Tea acababa de alcanzar el puesto #1 en la App Store, montando una ola de viralidad con más de 4 millones de usuarios. Su propuesta: un espacio exclusivo para mujeres para "chismear" sobre hombres por motivos de seguridad, aunque los críticos lo veían como una plataforma de "vergüenza hacia los hombres" envuelta en un branding de empoderamiento.
Un usuario de Reddit resumió la schadenfreude: "Crea una aplicación centrada en las mujeres para doxxear a hombres por envidia. Termina doxxeando accidentalmente a las clientas mujeres. Me encanta".
La verificación requería que los usuarios subieran un documento de identidad gubernamental y un selfie, supuestamente para evitar cuentas falsas y no de mujeres. Ahora esos documentos están en la calle.
La empresa le dijo a 404 Media que "[e]stos datos se almacenaron originalmente cumpliendo con los requisitos de las fuerzas del orden relacionados con la prevención del ciberacoso".
Decrypt se puso en contacto pero aún no ha recibido una respuesta oficial.
El culpable: 'Vibe coding'
Esto es lo que escribió el hacker original. "Esto es lo que sucede cuando confías tu información personal a un grupo de contratados DEI que codifican por vibraciones".
"Vibe coding" es cuando los desarrolladores escriben "hazme una aplicación de citas" en ChatGPT u otro chatbot de IA y envían lo que salga. Sin revisión de seguridad, sin comprensión de lo que realmente hace el código. Solo vibraciones.
Aparentemente, el bucket de Firebase de Tea no tenía autenticación alguna porque eso es lo que generan por defecto las herramientas de IA. "Sin autenticación, nada. Es un bucket público", dijo el filtrador original.
Puede ser codificación por vibraciones, o simplemente mala codificación. Sin embargo, la dependencia excesiva en la IA generativa solo está aumentando.
Este no es un incidente aislado. A principios de 2025, el fundador de SaaStr observó cómo su agente de IA eliminaba toda la base de datos de producción de la empresa durante una sesión de "codificación de ambiente". El agente luego creó cuentas falsas, generó datos alucinados y mintió al respecto en los registros.
En general, investigadores de la Universidad de Georgetown encontraron que el 48% del código generado por IA contiene fallas explotables, sin embargo, el 25% de las startups de Y Combinator utilizan IA para sus funciones principales.
Así que aunque la codificación de ambiente es efectiva para uso ocasional, y gigantes tecnológicos como Google y Microsoft predican el evangelio de la IA afirmando que sus chatbots construyen una parte impresionante de su código, el usuario promedio y los pequeños empresarios pueden estar más seguros al quedarse con la codificación humana, o al menos revisar muy, muy detenidamente el trabajo de sus IA.
"La codificación de ambiente es increíble, pero el código que estos modelos generan está lleno de vulnerabilidades de seguridad y puede ser fácilmente hackeado", advirtió el científico de la computación Santiago Valdarrama en redes sociales.
Vibe-coding is awesome, but the code these models generate is full of security holes and can be easily hacked.
This will be a live, 90-minute session where @snyksec will build a demo application using Copilot + ChatGPT and live hack it to find every weak spot in the generated…
— Santiago (@svpino) March 17, 2025
El problema empeora con "slopsquatting". La IA sugiere paquetes que no existen, los hackers luego crean esos paquetes llenos de código malicioso, y los desarrolladores los instalan sin verificar.
Los usuarios de Tea están en apuros, y algunas identificaciones ya aparecen en mapas buscables. Registrarse en un servicio de monitoreo de crédito puede ser una buena idea para los usuarios que intentan prevenir más daños.