Un errore di configurazione nel pannello di amministrazione di Unjected, un sito di incontri progettato per persone che non vogliono vaccinarsi contro il Covid-19, ha compromesso i dati sensibili della sua intera base di utenti, hanno riferito i media all'inizio di questa settimana.
Un ricercatore di sicurezza informatica di nome GeopJr ha recentemente contattato il Daily Dot e ha dimostrato che impostazioni errate permettevano a lui, o a chiunque altro sapesse dove cercare, di diventare l'amministratore del sito.
GeopJr ha mostrato che il sito è stato pubblicato live con la "modalità debug" abilitata. Questa è una modalità utilizzata dagli sviluppatori di software mentre il sito è ancora in costruzione e come tale include un'ampia gamma di pacchetti e funzionalità. Tale modalità non dovrebbe mai essere attivata per impostazione predefinita in un'applicazione implementata, sottolinea la pubblicazione.
Accedi alla banca dati
In qualità di amministratore, l'utente può modificare quasi qualsiasi cosa sul sito, aggiungere o eliminare pagine, modificare o eliminare tutti i post, nonché i backup del sito.
L'amministratore ha anche accesso all'intero database degli utenti e a tutti i dettagli ivi elencati, inclusi nomi, date di nascita, indirizzi e-mail e (facoltativamente) indirizzi postali. Questi dati possono essere utilizzati ad esempio per il furto d'identità (si apre in una nuova finestra).
Il sito di incontri conta circa 3.500 utenti, i cui dati sensibili sono stati ormai esposti.
Potrebbe essere un sito piccolo, ma le sue ambizioni sono piuttosto grandi, poiché il matchmaking è solo uno dei servizi offerti sul sito, un altro è "fertilità", dove gli utenti possono donare il proprio sperma, ovociti o latte materno. Esiste anche un servizio di “banca del sangue”, secondo la pubblicazione, dove le persone possono donare il sangue. Entrambi i servizi sono pubblicizzati come "privi di mRNA".
L'app Unjected è attualmente disponibile solo su Google Play Store, poiché è stata bandita dall'App Store di Apple per aver violato le politiche sui contenuti Covid-19 dell'azienda. Su Android sembra avere oltre 10.000 download.
Via: The Daily Dot (si apre in una nuova scheda)