ЭКСКЛЮЗИВ: сайт знакомств против прививок, который позволяет людям рекламировать "мРНК БЕСПЛАТНО" semen оставил все свои пользовательские данные открытыми

Будущие технологии и их применение

Веб-сайт знакомств, выступающий против вакцинации, который позволяет пользователям приобретать “мРНК БЕСПЛАТНО” сперма оставила своих пользователей’ личные данные, размещенные в Интернете.

Сайт Unjected, запущенный в мае 2021 года, претендует на звание «крупнейшей непривитой платформы»; в Интернете. Unjected впервые попала в заголовки газет в августе после того, как ее приложение было удалено из Apple App Store за нарушение политики компании в отношении COVID-19.

Похожий по дизайну на Twitter и часто называемый «Tinder для противников прививок», Unjected с тех пор остается незамеченным, постепенно добавляя новые функции для своей небольшой пользовательской базы. Сайт теперь предлагает то, что он описывает как “Бесплатное определение крови по мРНК & каталоги фертильности” где непривитые пользователи могут сдавать кровь, сперму или яйцеклетки друг другу.

Хотя некоторые из объявлений о крови кажутся законными, другие, такие как одна, предлагающая непривитую сперму, похоже, были сделаны в шутку. Раздел сайта о фертильности позволяет пользователям предлагать свои яйцеклетки, грудное молоко или сперму. Пользователи также могут предложить стать суррогатной матерью.

Тем не менее, по словам программиста и исследователя безопасности, известного в сети как GeopJr, панель администратора сайта была открыта для всех. Панель инструментов позволяет администраторам Unjected добавлять, редактировать или деактивировать страницы, такие как страницы веб-сайта “О нас” раздел, а также пользователи’ учетных записей.

Обнаружение было сделано после того, как GeopJr заметил, что инфраструктура веб-приложений Unjected осталась в режиме отладки, что позволяет им получать соответствующую информацию, «которой злоумышленник может злоупотребить». ”

После того, как Daily Dot создала тестовую учетную запись на платформе, GeopJr смог изменить личный адрес электронной почты, имя пользователя и изображение профиля учетной записи. GeopJr также мог редактировать общедоступную публикацию, сделанную Daily Dot, и изменять ее формулировку.

Другие данные, такие как резервные копии сайта, могли быть загружены или удалены. GeopJr мог раздавать подписки на Unjected на сумму 15 долларов в месяц, а также отвечать на запросы в справочный центр и сообщать о сообщениях и удалять их.

В разговоре с Daily Dot GeopJr утверждал, что сайт, похоже, был настроен. поспешно и что основные протоколы безопасности были проигнорированы.

“Почти ни одно из действий, которые может предпринять администратор или пользователь, не требует какой-либо аутентификации,” Они сказали. «Любой человек может напрямую манипулировать частями своей базы данных и ее содержимым».

The Daily Dot отправила электронные письма более чем дюжине пользователей после того, как получила частные адреса электронной почты для сайта’ около 3500 участников, чтобы еще раз подтвердить подлинность утечки. Хотя ни один из пользователей не ответил напрямую, один пользователь признался, что с ним связались, и разместил электронное письмо Daily Dot в ленте Unjected. Другой пользователь связался с Daily Dot через Twitter, чтобы узнать об этом посте.

Многие пользователи в списке рассылки даже утверждали, что работают в области медицины. Поиск одного из таких адресов электронной почты привел к странице LinkedIn для женщины, которая утверждала, что является специалистом в области психического здоровья и имеет опыт в области «квантового медицинского гипноза».

Unjected’s соучредитель Шелби Томсон признала, что узнала о проблемах безопасности в комментарии к платформе после того, как пользователи, с которыми связалась Daily Dot, начали обращаться в службу поддержки сайта.

В электронном письме Daily Dot Dot, Томсон заявила, что она предупредит свою техническую команду о проблемах, обозначенных Daily Dot, и начнет устранять уязвимости. Вскоре после этого пользователи сообщили о многочисленных сбоях в Unjected, из-за которых их личная информация стала еще более открытой, чем раньше.

Один пользователь, который получил сообщение о том, что его учетная запись не существует, при попытке войти в систему. Приложение Unjected утверждало, что после регистрации новой учетной записи оно запросило и опубликовало его домашний адрес.

““Я стараюсь быть максимально любезным, когда говорю: "Возьмите". приложение должно быть закрыто сейчас, прежде чем вы окажетесь в суде, и не выпускайте его, пока вы не проведете над ним надлежащее тестирование разработки программного обеспечения,” — написал пользователь на Unjected. «Я очень серьезно отношусь к своей конфиденциальности и безопасности, и ваше приложение несколько раз нарушало доверие, безопасность, конфиденциальность и безопасность».

В ответ на резкий пост другой пользователь заявил, что при входе в систему в них они были перенаправлены на страницу кода из серверной части сайта, раскрывающую их адрес электронной почты, IP-адрес, информацию о браузере и многое другое. The Daily Dot также увидела ту же страницу и информацию о своей тестовой учетной записи вскоре после того, как Unjected сообщил, что начал исправлять проблемы.

“Я согласен, что этот сайт должен быть отключен, пока они не получат все необходимые сведения. проблемы с безопасностью решены” — сказал второй пользователь. “В качестве меры предосторожности я удалил свою фотографию из профиля, переключился на резервный адрес электронной почты и удалил всю личную информацию из своего профиля. По сути, это противоречит самой цели использования этого сайта, но я не чувствую, что здесь есть какой-либо уровень безопасности». новые вопросы остались без ответа в четверг. В начале пятницы весь сайт временно отключился, прежде чем вернуться. Хотя некоторые проблемы были устранены, другие остались.

Томсон не ответила на последующее электронное письмо от Daily Dot относительно распространенных проблем в пятницу, но поделилась многочисленными вдохновляющими цитатами в своем профиле Unjected. В течение выходных сайт несколько раз отключался от сети, возвращаясь с исправленными лишь некоторыми проблемами, прежде чем снова отключился.

Сегодня веб-сайт Unjected снова стал доступен. Томсон не делал публичных заявлений о его возвращении. Исправлена самая критичная проблема — раскрытие пользовательских данных. Многочисленные некритические баги остались.

Это сообщение было обновлено.

Узнайте больше о технологиях и политике Daily Dot