Un sito di dating no-vax
{espone online tutti i dati dei suoi utenti}
di Micaela Antozzi {Art Director}
Unjected, una piattaforma creata appositamente per le persone che rifiutano le vaccinazioni COVID-19 (consentirebbe anche di donare sperma, sangue, ovuli e latte materno esclusivamente “mRNA FREE”), ha lasciato inconsapevolmente esposti online, i dati di tutti suoi utenti iscritti. Il primo a lanciare l’allarme è stato un ricercatore di sicurezza infomatica greco, che scoprendo numerose vulnerabilità, ha notato che si poteva accedere facilmente alla dashboard dell’amministratore di rete, consentendogli di aggiungere, modificare e disattivare le pagine e, peggio ancora, di accedere alle informazioni chiave di qualsiasi utente, incluso il nome, la data di nascita, l’indirizzo e-mail e talvolta anche il proprio indirizzo di casa.
Il ricercatore ha scoperto l’errore quando il sito è stato pubblicato online in modalità di debug attivata, che è una cosa folle da attivare per un’applicazione che è già online con circa 3.500 utenti attivi. La modalità di debug infatti consente a chiunque di modificare il codice del sito per i propri scopi. Dopo che è stato segnalato il suo difetto di sicurezza informatica, l’intero sito è andato offline per la prima volta venerdì 22 luglio ed è rimasto così per tutto il fine settimana.
Questa piattaforma, lanciata a maggio 2021 aveva inizialmente fatto notizia dopo che la sua app era stata rimossa dall’App Store di Apple, per aver violato le politiche dell’azienda in merito al COVID-19. Molto simile nel design a Twitter e spesso indicata come il “Tinder per i no-vax”, questa piattaforma è rimasta da allora sotto i riflettori, aggiungendo silenziosamente nuove funzionalità per la sua piccola base di utenti.
La co-fondatrice di Unjected, Shelby Thomson, ha riconosciuto di aver appreso dei problemi di sicurezza in un commento sulla piattaforma dopo che gli utenti hanno iniziato a contattare il supporto tecnico del sito.
Lunedì 25 luglio il sito è stato riportato online, gli amministratori di Unjected non hanno rilasciato una dichiarazione pubblica. Il problema più critico, l’esposizione dei dati degli utenti, è stato risolto. Rimangono numerosi bug non critici.