Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data breach Tea Dating App: 72 mila immagini e oltre 1 milione di messaggi privati

Stefano Gazzella : 2 Settembre 2025 07:33

L’app “Tea Dating Advice” ha comunicato un data breach il 25 luglio 2025 che ha coinvolto 72 mila immagini di utenti registrati prima di febbraio 2024, fra cui 13 mila selfie e documenti caricati per la verifica dell’account e 59 mila immagini pubbliche provenienti da post, commenti e messaggi diretti.

La comunicazione dal profilo Instagram @theteapartygirls.

Kasra Rahjerdi, un ricercatore di sicurezza, ha dato successivamente la notizia secondo cui risultava violato anche un database con 1,1 milioni di messaggi che contengono informazioni identificative (contatti, profili social) e conversazioni dal 2023 ad oggi. La società ha confermato la violazione anche di questo database e che sta svolgendo delle investigazioni a riguardo.

L’accesso non autorizzato è avvenuto su un sistema di archiviazione dati legacy, con un accesso diretto tramite url pubblico, che prevedeva la conservazione dei dati per adempire agli obblighi di legge relativi alla prevenzione e al contrasto del cyber-bullismo.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Leggendo l’informativa privacy, però, non c’è questa finalità dichiarata ma si parla in modo generico di una conservazione “per il tempo strettamente necessario a soddisfare un legittimo interesse aziendale“.

    Infine, gran parte del contenuto risulta essere stato esposto su 4chan. Con tutte le conseguenze del caso.

    La destinazione d’uso dell’app Tea Dating.

    La viralità dell’app ha portato ad un grande successo negli Stati Uniti, quindi la mole di informazioni personali esfiltrata è particolarmente rilevante sia per qualità che per quantità.

    La destinazione d’uso dell’app: “comunità online dedicata alle donne per supportarsi a vicenda e orientarsi nel mondo degli appuntamenti“, fornendo alcuni strumenti a supporto e l’occasione di condividere anonimamente esperienze per creare uno spazio sicuro online.

    L’evidenza dei fatti presenta un conto piuttosto amaro: la sicurezza di quei dati non era stata gestita in modo adeguato tenendo conto dei rischi e della particolare sensibilità degli stessi.

    Inoltre, anche l’aspetto della privacy non sembra essere stato affrontato in modo ottimale. Leggendo l’informativa non risponde ai canoni di chiarezza o di completezza che ci si attenderebbe da un’app che opera trattamenti così delicati.

    Comprensibile il time to market per uscire con la proposta dell’app. Molto meno che una versione dettagliata dell’informativa sia stata pubblicata solo in data 11 agosto 2025, ovverosia dopo l’incidente. La precedente, invece, aveva resistito immutata dal 28 novembre 2022.

    Ciononostante, i tempi di data retention continuano ad essere generici:

    4) Data Retention
    We endeavor to retain your personal information for as long as your account is active or as needed to provide you the Services, or where we have an ongoing legitimate business need. Additionally, we will retain and use your personal information as necessary to comply with our legal obligations, resolve disputes, and enforce our agreements. You can request deletion of your active account via the Tea app by accessing your “Account” under your Profile.

    Cambia invece il paragrafo “Security of Your Personal Information”, passando da questa forma:

    The security of your Personal Information is important to us. When you enter sensitive information (such as credit card number) on our Services, we encrypt that information using secure socket layer technology (SSL).Tea Dating Advice takes reasonable security measures to protect your Personal Information to prevent loss, misuse, unauthorized access, disclosure, alteration, and destruction. Please be aware, however, that despite our efforts, no security measures are impenetrable.If you use a password on the Services, you are responsible for keeping it confidential. Do not share it with any other person. If you believe your password has been misused, please notify us immediately.

    a questa:

    Safeguarding personal information is important to us. While no systems, applications, or websites are 100% secure, we take reasonable and appropriate steps to help protect personal information from unauthorized access, use, disclosure, alteration, and destruction. To help us protect personal information, we request that you use a strong password and never disclose your password to anyone or use the same password with other sites or accounts.

    Modifica piuttosto significativa. Insomma: fa riflettere.

    La sostenibilità della destinazione d’uso.

    La destinazione d’uso di una tecnologia o di una sua applicazione è un tema molto interessante, soprattutto per affrontare l’argomento della sua sostenibilità. Infatti, soprattutto nel digitale tutto, se non molto, può essere fatto.

    Ma da un lato bisogna chiedersi non solo se questo sia “giusto” (e quindi se il beneficio sia compensato dai costi), ma anche se la sua modalità d’impiego tenga conto degli elementi di tutela della privacy e sicurezza dei dati e sia in grado di garantirne la protezione. E quindi la destinazione d’uso, per quanto affascinante e virtuosa, non è detto che sia sempre sostenibile o lo possa permanere nel tempo. Motivo per cui è richiesto un processo di continuo riesame a riguardo.

    I migliori scopi così come la virtù di intenti non sono infatti sufficienti a proteggere i dati.

    Perchè anche la strada per l’inferno dei dati è lastricata delle migliori intenzioni.

    Stefano Gazzella
    Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...

    Falla critica in Linux: scoperta vulnerabilità con CVSS 8.5 nel demone UDisks
    Di Redazione RHC - 01/09/2025

    Una falla critica nella sicurezza del demone Linux UDisks è stata rilevata recentemente, che consente a potenziali malintenzionati senza privilegi di accedere a file appartenenti ad utenti con privil...

    LilyGO T-Embed CC1101 e Bruce Firmware, la community rende possibile lo studio dei Rolling Code
    Di Diego Bentivoglio - 01/09/2025

    La ricerca sulla sicurezza delle radiofrequenze non si ferma mai. Negli ultimi anni abbiamo visto nascere strumenti sempre più accessibili che hanno portato il mondo dell’hacking RF anche fuori dai...

    Stangata da 167 milioni: WhatsApp vince la causa contro NSO e il suo spyware Pegasus
    Di Redazione RHC - 01/09/2025

    In un’importante novità legale è alle porte. Un tribunale statunitense ha ordinato al gruppo NSO, noto produttore di spyware, di pagare 167 milioni di dollari a WhatsApp. Questa sentenza è la con...