Le site de rencontre anti-vax est sans surprise mauvais en matière de sécurité des données

¯_(ツ)_/¯

Il s’avère que le diagramme de Venn des personnes qui rejettent fièrement la vaccination COVID-19 et des personnes qui ne prennent pas de mesures pour protéger la sécurité de leurs données est à peu près un cercle.

Non injecté, un site de rencontre réel et réel, a été créé spécifiquement pour les personnes qui ne sont pas vaccinées contre le COVID-19 et prétend être la « plus grande plate-forme non vaccinée » en ligne. En plus d’aider exclusivement les anti-vaxxeurs à trouver l’amour (s’il vous plaît, Netflix, n’en faites pas une émission de télé-réalité), Unjected fournit également un endroit où les utilisateurs peuvent offrir leur sang, leur sperme, leurs ovules ou leur lait maternel en don. Et il y a un petit problème de cybersécurité, a rapporté le Daily Dot.

Programmeur et chercheur en sécurité GeopJr, qui se décrit en tant qu' »étudiant CS 🧑‍🎓 de Grèce 🇬🇷 », a découvert que n’importe qui pouvait accéder au tableau de bord de l’administrateur du site, qui permet aux utilisateurs d’ajouter, de modifier ou de désactiver des pages. Grâce à ce tableau de bord, ils peuvent également accéder aux informations utilisateur de tout membre, y compris leur nom, leur date de naissance, leur adresse e-mail et parfois même leur adresse personnelle.

« Presque aucune des actions qu’un administrateur ou un utilisateur peut entreprendre ne nécessite une quelconque authentification », a déclaré GeopJr au Daily Dot. « N’importe qui peut manipuler directement des parties de sa base de données et de son contenu. »

GeopJr a découvert l’erreur lorsque le site a été publié en direct en ligne avec le mode de débogage activé. Le mode débogage permet aux utilisateurs de modifier le code du site à des fins de débogage, ce qui est une chose folle à activer pour une application qui est déjà en ligne avec environ 3 500 utilisateurs actifs. C’est à travers ce mode debug que GeopJr a apporté des modifications au site.

L’ensemble du site a été mis hors ligne pour la première fois le vendredi 22 juillet après que le Daily Dot a contacté Unjected et s’est mis en ligne et hors ligne tout le week-end. Le lundi 25 juillet, le site a été remis en ligne, peut-être pour de bon. Selon le Daily Dot, l’exposition des données des utilisateurs est fixe.

Unjected a déjà traversé la sonnerie. En août 2021, l’App Store d’Apple l’a expulsé pour avoir enfreint les politiques COVID-19 d’Apple, il fait donc désormais principalement le tour des utilisateurs d’Android et des utilisateurs de bureau.

Avec l’application toujours opérationnelle, il est clair qu’elle essaie de se propager rapidement – mais je peux penser à au moins une chose qui se propage plus rapidement que Unjected.