L’application Tea, conçue pour aider les femmes à naviguer en toute sécurité dans le monde des rencontres, a été la cible d’une cyberattaque majeure. Un jour seulement après avoir atteint la première place des applications gratuites sur l’Apple Store, l’incident a entraîné la fuite de 72 000 images et de nombreuses données personnelles. Cet événement soulève des questions importantes sur la sécurité et la vie privée des utilisateurs.
Tea, officiellement connue sous le nom de Tea Dating Advice, a été fondée en 2023 par l’ingénieur informatique Sean Cook. L’idée lui est venue après avoir été témoin des « expériences terrifiantes » de sa mère sur les sites de rencontres, notamment des cas de catfishing et des interactions avec des individus ayant des antécédents criminels. L’application se veut un réseau de signalement anonyme, permettant aux femmes de partager des informations sur les hommes qu’elles rencontrent ou envisagent de rencontrer, afin d’éviter les « drapeaux rouges » tels que l’infidélité ou des comportements dangereux.
Le fonctionnement de Tea repose sur un système où les utilisatrices peuvent publier des photos, des prénoms et des « drapeaux » (verts pour positifs, rouges pour négatifs) accompagnés de témoignages et de « tea » (ragots). L’application promet l’anonymat à ses utilisatrices, bien qu’une vérification d’identité via photo et pièce d’identité ait été requise par le passé. Cette exigence a été supprimée en 2023. Cependant, la récente brèche a exposé un ancien système de stockage de données, compromettant des informations datant d’avant février 2024, y compris 13 000 selfies et photos d’identité, ainsi que 59 000 images issues des publications et messages directs de l’application.
Suite à la première fuite rapportée le vendredi 25 juillet, une deuxième vulnérabilité a été découverte, exposant plus d’un million de messages privés entre utilisatrices, incluant des discussions sensibles sur des sujets comme l’infidélité ou des coordonnées personnelles. En réponse, Tea a temporairement mis hors ligne sa messagerie directe et a déclaré travailler avec des experts en cybersécurité pour renforcer ses systèmes. Des appels à la suppression de l’application des boutiques d’applications ont été lancés, et une action en justice collective a été déposée.
