Le site de rencontre anti-vax a exposé les données de 3 500 utilisateurs via un bogue en «mode débogage»

[ad_1]

Sans surprise, il semble que le type de personnes qui évitent les vaccinations ne soient pas non plus doués pour la cybersécurité préventive.

Comme le rapporte le Point quotidien« Unjected » – un site de rencontres spécifiquement destiné aux personnes non vaccinées contre le COVID-19 – n’a pas pris les précautions de base pour assurer la sécurité des données des utilisateurs, laissant des données sensibles exposées et permettant potentiellement à n’importe qui de devenir administrateur du site.

Le site « Unjected » a été mis en place pour laisser le tableau de bord de l’administrateur entièrement accessible à toute personne sachant le rechercher. Grâce à ce tableau de bord, un administrateur peut accéder aux informations utilisateur de tout membre du site, y compris le nom, la date de naissance, l’adresse e-mail et (le cas échéant) son adresse personnelle.

L’erreur de configuration a été découverte par un chercheur en sécurité connu sous le nom de GeopJr, qui a confirmé la vulnérabilité du Point quotidien en éditant des publications en direct sur le site. GeopJr a apparemment remarqué que le site avait été publié en direct sur le Web avec le « mode débogage » activé – un ensemble spécial de fonctionnalités que les développeurs de logiciels peuvent utiliser tout en travaillant sur l’application, qui ne devrait jamais être activé par défaut dans une application qui a été déployé.

Grâce à ces fonctionnalités, le chercheur a pu apporter presque toutes les modifications au site, y compris l’ajout ou la suppression de pages, l’offre d’abonnements gratuits à des services payants ou même la suppression de l’intégralité de la base de données des post-sauvegardes. Actuellement, le site compterait environ 3 500 utilisateurs, dont toutes les données étaient accessibles via les fonctions d’administrateur.

Bien que sa base d’utilisateurs soit petite, Unjected semble avoir de grandes ambitions pour établir des liens au sein de la communauté non vaccinée. En plus de fournir des services de rencontres, Unjected propose également une section « fertilité » où les utilisateurs peuvent offrir leur sperme, leurs ovules ou leur lait maternel en don. Dans une autre section du site Web, les utilisateurs peuvent également s’inscrire à une «banque de sang» en indiquant leur emplacement et leur groupe sanguin. La banque de sang et les services de fertilité sont tous deux connus pour aider les utilisateurs à trouver des donneurs «sans ARNm» – une référence aux molécules d’ARNm utilisées dans les vaccins Pfizer et Moderna COVID-19.

Le site Web Unjected est désormais l’un des principaux portails du projet après le démarrage de l’application Unjected depuis l’App Store d’Apple en août 2021 pour avoir enfreint les politiques de contenu COVID-19 d’Apple. Cependant, les utilisateurs d’Android peuvent toujours télécharger l’application s’ils le souhaitent : elle est actuellement toujours répertoriée sur le Google Play Store, où elle compte plus de 10 000 téléchargements et une évaluation moyenne de 2,5 étoiles.

[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*