Anti-vax-datingsite heeft gegevens van 3.500 gebruikers blootgelegd via bug in ‘debug-modus’

Het is niet verwonderlijk dat het type mensen dat vaccinaties mijdt, ook niet goed is in preventieve cyberbeveiliging.

Zoals gemeld door de Dagelijkse Punt“Unjected” – een datingsite speciaal voor mensen die niet zijn ingeënt tegen COVID-19 – heeft geen basisvoorzorgsmaatregelen genomen om de gegevens van gebruikers te beveiligen, waardoor gevoelige gegevens worden blootgesteld en mogelijk iedereen sitebeheerder kan worden.

De “Unjected”-site is opgezet om het beheerdersdashboard volledig toegankelijk te maken voor iedereen die wist hoe ernaar te zoeken. Via dit dashboard had een beheerder toegang tot gebruikersinformatie voor elk lid van de site, inclusief naam, geboortedatum, e-mailadres en (indien opgegeven) hun thuisadres.

De configuratiefout werd ontdekt door een beveiligingsonderzoeker die bekend staat als GeopJr, die de kwetsbaarheid voor de Dagelijkse Punt door live berichten op de site te bewerken. GeopJr merkte blijkbaar op dat de site live op het web was gepubliceerd met de “debug-modus” ingeschakeld – een speciale set functies die softwareontwikkelaars kunnen gebruiken tijdens het werken aan de app, die nooit standaard mag worden ingeschakeld in een applicatie die is ingezet.

Met behulp van deze functies was de onderzoeker in staat om bijna elke wijziging aan de site aan te brengen, inclusief het toevoegen of verwijderen van pagina’s, het aanbieden van gratis abonnementen voor betaalde services of zelfs het verwijderen van de volledige database met post-back-ups. Momenteel wordt aangenomen dat de site ongeveer 3.500 gebruikers heeft, van wie alle gegevens toegankelijk waren via de beheerdersfuncties.

Hoewel het gebruikersbestand klein is, lijkt Unjected grote ambities te hebben voor het opbouwen van verbindingen tussen de niet-gevaccineerde gemeenschap. Naast het aanbieden van datingservices, biedt Unjected ook een sectie ‘vruchtbaarheid’ waar gebruikers hun sperma, eieren of moedermelk kunnen aanbieden voor donatie. In een ander gedeelte van de website kunnen gebruikers zich ook aanmelden voor een “bloedbank” door hun locatie en bloedgroep te vermelden. Zowel de bloedbank als de vruchtbaarheidsdiensten zijn gebrandmerkt om gebruikers te helpen bij het vinden van ‘mRNA-vrije’ donoren – een verwijzing naar de mRNA-moleculen die worden gebruikt in de Pfizer- en Moderna COVID-19-vaccins.

De Unjected-website is nu een van de belangrijkste portals voor het project nadat de Unjected-app in augustus 2021 vanuit de Apple App Store werd opgestart wegens schending van het COVID-19-inhoudsbeleid van Apple. Android-gebruikers kunnen de app echter nog steeds downloaden als ze willen: hij staat momenteel nog steeds in de Google Play Store, waar hij meer dan 10.000 downloads heeft en een gemiddelde beoordeling van 2,5 sterren.

Leave a Comment