Resulta que el diagrama de Venn de personas que rechazan con orgullo la vacuna contra el COVID-19 y personas que no toman medidas para proteger la seguridad de sus datos es más o menos un círculo.
Unjected, un sitio de citas de la vida real, fue creado específicamente para personas que no están vacunadas contra el COVID-19 y afirma ser la «plataforma no vacunada más grande» en línea. Más allá de ayudar exclusivamente a los antivacunas a encontrar el amor (por favor, Netflix, no hagas de esto un reality show de televisión), Unjected también ofrece un lugar para que los usuarios ofrezcan su sangre, semen, óvulos o leche materna para donación. Y está teniendo un pequeño problema de ciberseguridad, informó el Daily Dot.
El programador e investigador de seguridad GeopJr, que se describe a sí mismo como «un estudiante de informática 🧑🎓 de Grecia 🇬🇷», descubrió que cualquiera podía acceder al panel del administrador del sitio, que permite a los usuarios agregar, editar o desactivar páginas. A través de este tablero, también pueden acceder a la información de usuario de cualquier miembro, incluido su nombre, fecha de nacimiento, dirección de correo electrónico y, a veces, incluso la dirección de su casa.
¿Qué aplicación de citas deberías usar? Esta guía puede ayudarte a resolverlo.
«Casi ninguna de las acciones que puede realizar un administrador o un usuario requiere ningún tipo de autenticación», dijo GeopJr al Daily Dot. «Cualquiera puede manipular directamente partes de su base de datos y su contenido».
GeopJr descubrió el error cuando el sitio se publicó en vivo en línea con el modo de depuración activado. El modo de depuración permite a los usuarios cambiar el código del sitio con el fin de depurar, lo cual es una locura para activar una aplicación que ya está en línea con alrededor de 3500 usuarios activos. Es a través de este modo de depuración que GeopJr realizó cambios en el sitio.
Todo el sitio se desconectó por primera vez el viernes 22 de julio después de que el Daily Dot se pusiera en contacto con Unjected y se desconectó durante todo el fin de semana. El lunes 25 de julio, el sitio volvió a estar en línea, tal vez para siempre. Según el Daily Dot, la exposición de los datos de los usuarios es fija.
Unjected ya ha pasado por el timbre. En agosto de 2021, la tienda de aplicaciones de Apple la eliminó por violar las políticas COVID-19 de Apple, por lo que ahora está circulando predominantemente entre los usuarios de Android y la gente en el escritorio.
Con la aplicación aún en funcionamiento, está claro que está tratando de propagarse rápidamente, pero puedo pensar en al menos una cosa que se difunde más rápido que Unjected.