Tea应用泄露风暴：7万女性隐私裸奔，苹果审核再陷信任危机

   7月25日清晨，太平洋时间6点45分，一个标题为“驾驶执照和面部照片！”的帖子出现在4chan论坛。三小时后，超过13,000名女性的身份证件和自拍照在Telegram群组疯传，有人甚至建起地图标注受害者的居住坐标。这场灾难的源头直指当时位居苹果应用商店榜首的约会应用Tea——一个标榜“保护女性安全”的平台。

   当硅谷还在讨论人工智能伦理时，一场原始到近乎荒诞的数据泄露正在发生。安全研究员发现，Tea存储在谷歌Firebase云端的72,000张用户图片像散落街头的传单般开放下载，其中59,000张来自用户动态和私信记录，另外13,000张则是用于实名认证的身份证与自拍组合。更令人窒息的是，这些本该“验证后立即删除”的敏感数据，竟包含了最早可追溯到2023年的历史存档。

   直到7月28日，用户收到官方通知时，黑客早已完成数据分装：一组人把女性自拍照做成“颜值评分”网站，另一组则打包110万条私密对话在暗网拍卖。德州某大学女生琳赛的遭遇成为缩影——她在聊天记录里向闺蜜吐槽约会对象吸毒的经历，连同驾照照片一起出现在前男友的邮箱里。“这应用说会匿名保护我们，现在却让我在陌生人面前一丝不挂。”她在给联邦贸易委员会的投诉信中写道。

   讽刺的是，漏洞修复过程暴露更多混乱。内部消息显示，Tea团队在7月26日中午就收到安全警报，但直到28日媒体曝光前，那个问题数据库仍可自由访问。期间有工程师在Slack频道建议“优先处理新用户激增导致的服务器卡顿”，安全响应被降级为“次要事务”。这种态度激怒了麻省理工学院技术评论员凯拉·桑切斯：“当收集身份证的应用用Excel管理密码，科技圈的性别平等口号就变成了黑色幽默。”苹果应用商店的审核机制在此刻显得格外苍白。虽然早在2月苹果就发布《儿童保护白皮书》，要求开发者详细说明年龄分级标准，但对Tea这类成人应用的数据安全审计却停留在表面。犹他州议员马克斯·柯林斯翻出2023年的听证会记录：“苹果总说他们的围墙花园最安全，可每年仍有价值5000万美元的诈骗应用上架。这次泄露证明，所谓的审核不过是给定时炸弹贴张合格证。”风暴眼中的Tea创始人肖恩·库克至今未公开露面。内部备忘录显示，公司正用“区块链加密”等术语安抚投资人，却只给受害者提供一年期身份监控服务。这种应对催生了现实荒诞剧：纽约曼哈顿出现戴口罩的女性排队购买反偷拍信号检测器，而黑客论坛的Tea数据包价格已跌至5比特币——过度供给让黑产市场陷入价格战。

   安全分析师玛丽·米勒在播客里点破核心矛盾：“用身份证验证保护女性，就像为防入室盗窃而把钥匙交给劫匪。”她追踪发现，Tea采用的Firebase存储配置教程在谷歌开发者文档第17页明确标注了“权限检查”步骤，但团队可能直接跳过了这页。这种普遍存在的“氛围编码”文化中，程序员依赖AI助手生成代码，却无人深究安全逻辑。当约会软件收集的堕胎讨论、出轨证据变成黑客素材，科技伦理课终于从大学讲堂血淋淋地冲进现实。

   苹果应用商店至今保持沉默。不过7月30日有人发现，当用户在搜索框输入“Tea”时，结果首位变成了竞品应用。这种静默的降权，或许是苹果式反省最真实的体现。