Medyanın bu hafta başlarında bildirdiğine göre, Covid-19’a karşı aşı olmak istemeyen kişiler için oluşturulmuş bir tanışma sitesi olan Unjected’in yönetici panosundaki bir yanlış yapılandırma, tüm kullanıcı tabanının hassas verilerini tehlikeye attı.
GeopJr adındaki bir siber güvenlik araştırmacısı kısa süre önce Günlük Nokta ve yanlış yapılandırmanın kendisinin veya nereye bakacağını bilen herhangi birinin sitenin yöneticisi olmasına izin verdiğini gösterdi.
GeopJr, sitenin “hata ayıklama modu” açıkken canlı yayınlandığını gösterdi. Bu, site henüz yapım aşamasındayken yazılım geliştiricileri tarafından kullanılan bir moddur ve bu nedenle çok çeşitli setler ve özelliklerle birlikte gelir. Yayın, böyle bir modun asla varsayılan olarak açılmaması gerektiğini, konuşlandırılmış bir uygulamada vurgulanır.
Veritabanına erişme
Bir yönetici olarak, kullanıcı sitedeki hemen hemen her şeyi değiştirebilir, sayfa ekleyebilir veya kaldırabilir, tüm gönderileri ve sitenin yedeklerini düzenleyebilir veya silebilir.
Yönetici ayrıca tüm kullanıcı veritabanına ve bu özel durumda adları, doğum tarihlerini, e-posta adreslerini ve (isteğe bağlı olarak) posta adreslerini içeren burada listelenen tüm ayrıntılara erişebilir. Bu veriler kimlik hırsızlığı için kötüye kullanılabilir (yeni sekmede açılır)örneğin.
Arkadaşlık sitesi, hassas verileri açığa çıkan yaklaşık 3.500 kullanıcıyı sayıyor.
Küçük bir site olabilir, ancak amaçları oldukça büyük – çünkü flört aracılığı sitede sunulan hizmetlerden sadece biri, bir diğeri ise kullanıcıların meni, yumurta veya anne sütünü bağışlayabileceği “doğurganlık”. Yayının bulduğuna göre, insanların kan bağışında bulunabilecekleri bir “kan bankası” hizmeti de var. Bu hizmetlerin her ikisi de “mRNA’sız” olarak tanıtılır.
Unjected uygulaması, şirketin Covid-19 içerik politikalarını ihlal ettiği için Apple App Store’dan atıldığı için şu anda yalnızca Google Play Store’da mevcuttur. Android’de, 10.000’den fazla indirmeye sahip görünüyor.
Aracılığıyla: Günlük Nokta (yeni sekmede açılır)