Błędna konfiguracja w panelu administracyjnym Unjected, serwisu randkowego przeznaczonego dla osób, które nie chcą być zaszczepione przeciwko Covid-19, naruszyła poufne dane całej bazy użytkowników, donosiły media na początku tego tygodnia.
Badacz cyberbezpieczeństwa o nazwisku GeopJr niedawno skontaktował się z Daily Dot i wykazał, że niewłaściwe ustawienia pozwoliły jemu lub każdemu, kto wiedział, gdzie szukać, zostać administratorem strony.
GeopJr pokazał, że witryna została opublikowana na żywo z włączonym „trybem debugowania”. Jest to tryb używany przez twórców oprogramowania, gdy witryna jest jeszcze w budowie i dlatego oferuje szeroką gamę pakietów i funkcji. Jak podkreśla publikacja, taki tryb nigdy nie powinien być domyślnie aktywowany we wdrożonej aplikacji.
Uzyskaj dostęp do bazy danych
Jako administrator użytkownik może modyfikować prawie wszystko w witrynie, dodawać lub usuwać strony, modyfikować lub usuwać wszystkie posty, a także kopie zapasowe witryny.
Administrator ma również dostęp do całej bazy danych użytkowników i wszystkich zawartych w niej szczegółów, w tym nazwisk, dat urodzenia, adresów e-mail i (opcjonalnie) adresów pocztowych. Dane te można wykorzystać na przykład do kradzieży tożsamości (otwiera się w nowym oknie).
Portal randkowy ma około 3.500 użytkowników, których wrażliwe dane zostały ujawnione.
Może i jest to mały serwis, ale jego ambicje są dość duże, gdyż randkowanie to tylko jedna z usług oferowanych w serwisie, inną jest „płodność”, gdzie użytkownicy mogą oddawać swoją spermę, komórki jajowe czy mleko matki. Jak wynika z publikacji, istnieje także „bank krwi”, w którym można oddać krew. Obie usługi reklamowane są jako „wolne od mRNA”.
Aplikacja Unjected jest obecnie dostępna tylko w sklepie Google Play, ponieważ została zablokowana w sklepie Apple App Store za naruszenie zasad firmy Covid-19 dotyczących treści. Na Androidzie wydaje się, że ma ponad 10.000 XNUMX pobrań.
Via: The Daily Dot (Otwiera się w nowej karcie)