Wenn das Herz zur Cloud wird
Es ist eine der am schnellsten gewachsenen Apps im Apple Store, ein viraler Dauerbrenner auf TikTok, ein digitales Kummerkästchen für Frauen weltweit: Die Dating-Bewertungsplattform Tea versprach Schutz durch Anonymität – und liefert nun einen Lehrfall über die Abgründe moderner App-Ökosysteme.
Wie nun bekannt wurde, ist der Datenklau größer als bislang kommuniziert. Nachdem bereits vergangene Woche rund 72.000 Nutzerfotos und Führerscheinkopien als kompromittiert galten, bestätigte Tea gegenüber InvestmentWeek, dass auch private Direktnachrichten betroffen sind. Und nicht nur ein paar.
Der Sicherheitsforscher Kasra Rahjerdi gelangte über eine unsichere Firebase-Datenbank an mehr als 1,1 Millionen sensible Chatnachrichten – inklusive Ortsangaben, Telefonnummern und Gesprächen über häusliche Gewalt, Untreue und Schwangerschaftsabbrüche.
Digitale Intimität als Angriffsfläche
Die Tea-App, die sich mit einem angeblich sicheren Framework und angeblich durchdachter Infrastruktur schmückte, wurde an ihrer schwächsten Stelle getroffen: der Datenbankarchitektur, die auf Googles Entwicklerplattform Firebase basiert. Diese Schnittstelle sei, so Rahjerdi, offen wie ein Scheunentor gewesen – und über Monate hinweg nicht abgesichert worden.
Besonders pikant: Der Zugriff war in Echtzeit möglich, bis in die frühen Morgenstunden des 26. Juli. Die Verantwortung für dieses gravierende Sicherheitsloch wälzt Tea auf externe Dienstleister ab – der Zugang zur Firebase-Instanz sei „nicht von Tea selbst programmiert“ worden, hieß es. Das eigene API hingegen sei laut Rahjerdi „wirklich solide“ gewesen.
Eine bemerkenswerte Aussage. Denn für die Nutzerinnen spielt es keine Rolle, wo ihre intimsten Details entwendet wurden – nur, dass es passiert ist.
Sicherheitsversprechen gebrochen – Vertrauen verloren
Dass ausgerechnet eine App, die sich explizit an Frauen richtet und mit einem Fokus auf Vertrauensbildung, emotionaler Sicherheit und Empowerment wirbt, derart eklatant bei der Datensicherheit versagt, dürfte für viele Nutzerinnen ein Schock sein.
Denn Tea war mehr als nur ein Tool zur Männerbewertung – es war ein Ort für ehrliche Gespräche über toxische Beziehungen, Einsamkeit oder sexuelle Grenzverletzungen.
Die Plattform, die auf ihrer Webseite mit über 4,6 Millionen Nutzerinnen wirbt, hat die Direct-Messaging-Funktion inzwischen deaktiviert. Nutzerinnen wurden in der App darüber informiert, dass eine externe Untersuchung laufe – unter Einbindung von Cybersecurity-Experten und dem FBI. Bis auf Weiteres wolle man keine Details veröffentlichen.
Tea verspricht nun „kostenlose Identitätsschutzmaßnahmen“ für betroffene Personen. Doch wie hilfreich diese im Angesicht derart tiefgreifender digitaler Intimitätsverluste sind, bleibt fraglich.
Stille vor dem Shitstorm?
Auffällig ist: Trotz des Leaks hält sich die öffentliche Empörung bislang in Grenzen – was womöglich auch am sensiblen Charakter der geleakten Inhalte liegt. Wer möchte schon in der Öffentlichkeit bestätigen, intime Geständnisse in einer App wie Tea gemacht zu haben?
Doch juristisch könnte das Nachspiel noch folgen. Denn laut europäischer DSGVO und vergleichbarer US-Bundesgesetze gilt für Apps mit personenbezogenen und besonders schützenswerten Daten eine erhöhte Schutzpflicht – die Tea nach Einschätzung mehrerer Experten grob verletzt haben könnte.
Schneller Hype, schwache Strukturen
Dass Tea im Juli auf Platz 1 der US-App-Charts schoss, ist in Anbetracht der Datenpanne fast ironisch. Der Erfolg der App fußt auf viralen Mechanismen, nicht auf belastbarer Infrastruktur. Ein typischer Fall also von zu schnell gewachsen, zu schlecht gesichert.
Die Lektion ist bitter, aber überfällig: Auch im Jahr 2025 wird digitale Intimität oft wie ein Geschäftsmodell, nicht wie ein Vertrauensverhältnis behandelt. Das Datenleck bei Tea ist kein Einzelfall – aber es könnte das lauteste Warnsignal seit langem sein.
Das könnte Sie auch interessieren:
InvestmentWeek