Tea Dating App 72,000件流出

「女性を守る」アプリ

Teaは、女性のためのデーティングアプリでした。

そのコンセプトはユニークでした。女性がデートした男性について匿名で投稿し、他の女性に「警告」できる——いわば、女性同士で情報を共有して身を守るためのプラットフォームです。

「安全」を売りにしていたこのアプリは、皮肉なことに、最も「危険」なセキュリティ事故を引き起こすことになります。

---

【被害】72,000枚の画像流出：vibe codingの脆弱性

2025年7月25日、Teaは公式チャンネルで重大な発表を行いました。

データ侵害 が発生したというのです。

流出したデータ:

種類	件数
アカウント認証用セルフィー	約13,000枚
写真付き身分証明書	約13,000枚
投稿・コメント・DMの画像	約59,000枚
合計	約72,000枚

データ量は 59.3GB に達しました。

---

運転免許証、パスポート、セルフィー

流出した13,000枚の身分証明書には、深刻な個人情報が含まれていました。

• 運転免許証
• パスポート
• 政府発行のIDカード
• 認証用のセルフィー写真

これらは、Teaがユーザーの本人確認のために収集していた情報でした。

「安全なコミュニティを作る」ための本人確認プロセスが、逆にユーザーを危険に晒す結果となったのです。

---

Developer Tools 3クリックで発見

この脆弱性は、どれほど簡単に発見できたのでしょうか。

答えは 「3クリック」 です。

1. ブラウザで「View」メニューを開く
2. 「Developer Tools」を選択
3. 「Network」タブを確認

たったこれだけで、Firebaseデータベースへの認証なしアクセスが可能であることが判明しました。

セキュリティの専門家でなくても、Webブラウザの基本機能を使える人なら誰でも発見できるレベルの脆弱性だったのです。

---

Firebase認証ゼロのAI生成コード問題

技術的な問題の核心は、Firebase認証が設定されていなかった ことでした。

Firebaseは、Googleが提供するバックエンドサービスです。データベース、認証、ストレージなどの機能を簡単に利用できます。

しかし、Teaのケースでは、この「簡単に利用できる」が仇となりました。

正しい設定:

• データベースアクセスには認証が必要
• ユーザーは自分のデータのみアクセス可能
• セキュリティルールで詳細なアクセス制御

Teaの設定:

• 認証なし
• 誰でも全データにアクセス可能
• セキュリティルールが事実上無効

---

vibe codingの影響

批評家たちは、この脆弱性の原因として「vibe coding」を指摘しました。

“Critics have blamed Tea’s use of ‘vibe coding’, AI-generated code with no proper review.” 「批評家たちは、Teaの『vibe coding』の使用——適切なレビューなしのAI生成コード——を非難している」

AI生成コードを、セキュリティレビューなしで本番環境に投入した結果がこれでした。

---

4chanとBitTorrentでの拡散

流出したデータは、最悪の形で拡散しました。

拡散経路:

1. 匿名掲示板 4chan で公開
2. P2Pネットワーク BitTorrent で分散配布
3. 複数のファイル共有サイトにミラー

一度インターネットに流出したデータを完全に削除することは、事実上不可能です。被害者の情報は、今もどこかで共有され続けている可能性があります。

---

Google Mapsで位置特定

事態はさらにエスカレートしました。

匿名のユーザーが、流出した情報を元に 被害者の位置情報をGoogle Mapsリンクで公開 したのです。

写真付き身分証明書には住所が記載されています。その住所をGoogle Mapsにプロットし、リンクを共有する——被害者のプライバシーと安全を完全に無視した行為でした。

「女性を守る」はずのアプリが、女性を最も危険な状況に追い込んだのです。

---

会社の主張と矛盾

Tea社は、被害を限定しようとしました。

Tea社の主張:

「影響を受けたのは2024年2月以前に参加したユーザーのみです」

現実: 流出したデータには 2025年の日付 の書類も含まれていました。

会社の発表と実際の流出データの間には、明らかな矛盾がありました。

---

ジョージタウン大学の研究

この事件は、より広い問題を浮き彫りにしました。

ジョージタウン大学の研究者たちの調査によると：

「AI生成コードの 48% に悪用可能な欠陥がある」

一方で、Y Combinatorのスタートアップの 25% が、AI生成コードをコア機能に使用しています。

統計的に見れば、vibe codingで作られたサービスの約半数に、悪用可能な脆弱性が存在する可能性があるのです。

---

被害者への影響

この事件の被害者は、以下のリスクに晒されています。

短期的リスク:

• 個人情報を使った詐欺
• なりすまし
• ハラスメント

長期的リスク:

• 身分証明書の悪用（ローン詐欺など）
• ストーカー被害
• 将来の就職・入学への影響

特に、身分証明書の流出は深刻です。運転免許証やパスポートは簡単に再発行できません。そして、その情報は何年も悪用される可能性があります。

---

vibe coding：「安全」を謳うなら安全に作れ

この事件の最も痛烈な教訓は、サービスの コンセプトと実装の乖離 です。

Teaは「女性の安全を守る」ことを目的としていました。しかし、その実装は「女性を最も危険に晒す」ものでした。

高尚なミッションを掲げることと、そのミッションを技術的に実現することは、まったく別の話です。

---

この事例から学ぶべき教訓

Tea事件から学ぶべきことは以下の通りです。

1. 「安全」を謳うサービスこそ、安全に作る責任がある

   • ミッションと実装を一致させる

2. 本人確認データは最高レベルのセキュリティが必要

   • 身分証明書は一度流出すると取り返しがつかない

3. Firebase/Supabaseの「簡単さ」は罠になりうる

   • デフォルト設定を過信しない

4. 3クリックで見つかる脆弱性は、必ず誰かに見つかる

   • 基本的なセキュリティテストは必須

5. vibe codingで機密データを扱うサービスを作るな

   • 少なくとも、セキュリティレビューなしでは

---

まとめ：重要ポイントの振り返り

• Teaは「女性を守る」デーティングアプリ
• Firebase認証なしで72,000枚の画像・身分証明書が流出
• Developer Tools 3クリックで発見できるレベルの脆弱性
• 4chan、BitTorrentで拡散、Google Mapsで位置特定
• vibe codingによる適切なレビューなしのコードが原因と指摘
• 教訓：「安全」を謳うなら安全に作れ

---

参考リンク・出典

• Tea App Breach: Women Only Dating Platform Leaks 72K User Images - Hackread
• Tea App That Claimed to Protect Women Exposes 72,000 IDs - Decrypt
• The Tea App Hack - Security Boulevard
• Official statement from Tea - Simon Willison