ΑρχικήsecurityΕυπάθεια στην εφαρμογή Unjected αποκαλύπτει ευαίσθητα δεδομένα χρηστών

Ευπάθεια στην εφαρμογή Unjected αποκαλύπτει ευαίσθητα δεδομένα χρηστών

Ένα πρόβλημα, που οποίο αποκαλύφθηκε από ερευνητή ασφαλείας γνωστό στον κυβερνοχώρο ως GeopJr, αφορά 35.509 λογαριασμούς στο Unjected, αποκαλύπτοντας ευαίσθητες πληροφορίες, όπως πλήρη ονόματα και ημερομηνίες γέννησης έως ηλεκτρονικές διευθύνσεις και στοιχεία τοποθεσίας.

unjected

Οι αδυναμίες στον έλεγχο ταυτότητας του ιστότοπου παρείχαν στο GeopJr τη δυνατότητα όχι μόνο την τροποποίηση προφίλ χρηστών, όπως την αλλαγή των φωτογραφιών τους, αλλά και να έχει πρόσβαση στα απευθείας μηνύματά τους με άλλους χρήστες και το προσωπικό του ιστότοπου.

Το Unjected, που χαρακτηρίζει τον εαυτό του ως την «μεγαλύτερη πλατφόρμα για μη εμβολιασμένους» στο διαδίκτυο, εμφανίστηκε για πρώτη φορά τον Μάιο του 2021. Κέρδισε άμεσα την προσοχή των μέσων, αφαιρέθηκε όμως από το Apple Store λόγω παραβίασης των κατευθυντήριων γραμμών για την παραπληροφόρηση σχετικά με τον COVID-19.

Διαβάστε ακόμη: Χρησιμοποιείτε Google Chrome; Προσοχή! Malware κλέβει προσωπικά δεδομένα!

Παρά τις αντιξοότητες, ο ιστότοπος δεν σταμάτησε να εξελίσσεται, εμπλουτίζοντας τις υπηρεσίες του με νέες δυνατότητες. Μία από αυτές ήταν οι πρωτοποριακοί «κατάλογοι mRNA FREE blood match & fertility», όπου οι χρήστες είχαν τη δυνατότητα να προσφέρουν το λεγόμενο καθαρό αίμα, σπέρμα ή ωάρια, σε άλλα μέλη της κοινότητας.

Τον Ιούλιο του 2022, η Daily Dot αποκάλυψε, μέσω της ενδελεχούς έρευνας του GeopJr, ότι ο πίνακας διαχείρισης της πλατφόρμας Unjected ήταν ευρέως προσβάσιμος στο κοινό. Αυτή η ευπάθεια ασφαλείας επέτρεψε στον GeopJr, μεταξύ άλλων, να προσθέτει, να τροποποιεί ή ακόμη και να απενεργοποιεί σελίδες του ιστοτόπου καθώς και λογαριασμούς χρηστών.

Η Shelby Thomson, συνιδρυτής της Unjected, αποφάσισε να μην απαντήσει σε ηλεκτρονικά μηνύματα που του είχε αποστείλει το Daily Dot εκείνη την περίοδο, παρά τις έντονες προσπάθειες επιδιόρθωσης του ιστοτόπου, γεγονός που οδήγησε στον επανειλημμένο αποκλεισμό του από το διαδίκτυο. Έπειτα από μια σειρά παραπόνων από χρήστες για προβλήματα στην προστασία δεδομένων, τεχνικές δυσλειτουργίες και διακοπές στη λειτουργία του, ο ιστότοπος κατάφερε να επανέλθει. Παρόλο που διορθώθηκαν τα κύρια προβλήματα, αρκετά σφάλματα παρέμειναν ανεπίλυτα.

Ο GeopJr απευθύνθηκε στη Daily Dot τον τρέχοντα μήνα, επισημαίνοντας ότι αποφάσισαν να πραγματοποιήσουν μια νέα επιθεώρηση του ιστοτόπου, σχεδόν δύο χρόνια μετά τον εντοπισμό των αρχικών τεχνικών ζητημάτων, και κατέληξε στο συμπέρασμα ότι το Unjected παρέμεινε «εξίσου ανασφαλές όσο και πριν».

«Για άλλη μια φορά, το Unjected αποτυγχάνει να εφαρμόσει τα απαραίτητα μέτρα ασφαλείας, εκθέτοντας σε κίνδυνο χιλιάδες χρήστες», δήλωσε ο GeopJr.

Το Unjected έλαβε πρόσφατα ένα email από την Daily Dot, το οποίο επισήμανε σοβαρές ευπάθειες στην ασφάλεια της πλατφόρμας την προηγούμενη εβδομάδα, αλλά δεν κατάφερε να τις αντιμετωπίσει επαρκώς. Παρόλο που έγιναν κάποιες προσπάθειες για την επίλυση της διαρροής δεδομένων, όπως ανέφερε ο GeopJr, αυτές οι ενέργειες προκάλεσαν περισσότερα προβλήματα στην ιστοσελίδα, συμπεριλαμβανομένου του ενδεχομένου αδικαιολόγητης απενεργοποίησης λογαριασμών χρηστών χωρίς την απαραίτητη επαλήθευση ταυτότητας.

Λόγω της αδυναμίας του Unjected να προστατεύσει τα προσωπικά δεδομένα των χρηστών της, η Daily Dot αποφάσισε να μην περιγράψει εκτενώς τον τρόπο εντοπισμού των ευπαθειών. Παρ’ όλα αυτά, αυτά τα προβλήματα επέτρεψαν στον GeopJr να αποκτήσει πρόσβαση σε πληροφορίες προφίλ που θα έπρεπε να είναι μη δημοσίευσιμες. Επιπλέον, ο GeopJr εντόπισε ένα ξεχωριστό ζήτημα που αφορούσε τον έλεγχο ταυτότητας, το οποίο του επέτρεψε την πρόσβαση σε όλα τα άμεσα μηνύματα της πλατφόρμας.

Δείτε περισσότερα: Ειδοποιήσεις του iPhone διαρρέουν προσωπικά δεδομένα των χρηστών

Η ανάλυση του Daily Dot σε 8.323 ιδιωτικές συνομιλίες του ιστότοπου, που εκτείνονται από τον Ιούλιο του 2023 έως τον Μάρτιο του 2024, αποκαλύπτει ότι ακόμη και οι πιο πιστοί χρήστες αρχίζουν να αναρωτιούνται για την ασφάλεια του Unjected.

Σε μια απευθείας επικοινωνία με τη διεύθυνση του Unjected στις 10 Ιανουαρίου, ένας χρήστης εκφράστηκε λέγοντας: “Σας ευχαριστούμε που συνεισφέρατε στην δημιουργία αυτής της πλατφόρμας. Ελπίζω να διαθέτετε αυστηρά μέτρα προστασίας για την ιδιωτικότητα των ατόμων που δεν έχουν κάνει εγγραφή.”

Σε άλλη ανακοίνωση που έγινε στις 13 Δεκεμβρίου 2023, ένας χρήστης εξέφρασε επίσης την ανησυχία του, ότι τα δεδομένα του ιστοτόπου μπορεί να καταλήξουν στα χέρια της κυβέρνησης των ΗΠΑ και να μοιραστούν με τις δικές του αρχές.

«Ανησυχώ αρκετά σχετικά με αυτή την πλατφόρμα που συγκεντρώνει δεδομένα αιχμάλωτων ατόμων. Υπάρχει πιθανότητα η κυβέρνηση των ΗΠΑ να την παραβιάσει και να αποκτήσει αποδεικτικά στοιχεία κατά εκείνων που αρνούνται να συμμορφωθούν με τις πολιτικές της κυβέρνησης Biden», έγραψε ο χρήστης. «Πραγματικά ανησυχώ… δεν είμαι βέβαιος αν θα συνεχίσω να χρησιμοποιώ αυτή την πλατφόρμα… πρέπει να ερευνήσω περισσότερο πώς λειτουργεί το σύστημα κυβερνοασφάλειας τους και να προσφέρω την υποστήριξή μου στους πελάτες της.».

Στις 9 Φεβρουαρίου του τρέχοντος έτους, καταγράφηκε ένα παράπονο από άλλο χρήστη σχετικά με τον ιστότοπο, περιγράφοντάς τον ως «σκοτεινό» και «δυσχερή στην πλοήγηση», εκφράζοντας την ανησυχία του για πιθανή πειρατεία και ότι αποφεύγει συχνά τη σύνδεση λόγω του φόβου αυτού.

“Το στοιχείο της ανταλλαγής μηνυμάτων δεν έχει αναπτυχθεί επαρκώς, καθώς φαίνεται να παρουσιάζει προβλήματα λειτουργίας κάθε φορά που προσπαθώ να το χρησιμοποιήσω, δίνοντας μου την εντύπωση ενός ανεπαρκούς ιστοτόπου. “Αυτή ήταν η παρατήρησή μου,” έχουν γράψει. “Περιμένω μια hacking επίθεση, για να δω αν θα βγω στη λίστα των ανεμβολίαστων!”

Άλλα ιδιωτικά στοιχεία περιλαμβάνουν τις ακριβείς γεωγραφικές συντεταγμένες των χρηστών, βασιζόμενες είτε στην πόλη και την πολιτεία που έχουν δηλώσει στον ιστότοπο, είτε στην επιλογή τους να επιτρέψουν στον browser τους να καθορίσει μια πιο ακριβή τοποθεσία.

Σε μία δήλωσή του στην Daily Dot, το Unjected φαίνεται να κατηγορεί αβάσιμα τον συγκεκριμένο δημοσιογράφο ότι κατάφερε με κάποιο τρόπο να παραβιάσει την ασφάλεια του ιστοτόπου.

«Στο Unjected, είμαστε πεπεισμένοι ότι βρισκόμαστε υπό την επιτήρηση της κυβέρνησης. Ευχαριστούμε που μας βοηθήσατε να κάνουμε το Unjected το πιο ασφαλές καταφύγιο για τους μη εμβολιασμένους. «Σας καλούμε να χρησιμοποιήσετε τις ικανότητές σας στο hacking για καλό σκοπό και να συμβάλετε στην αντίσταση ενάντια στη Νέα Τάξη Πραγμάτων, αντί να στοχεύετε οργανισμούς που δίνουν τη μάχη για την ανθρωπότητα. Κάποια στιγμή, όλα αυτά θα σας βγάζουν νόημα».

Το Unjected δήλωσε ότι δημιούργησε έναν κωδικό προσφοράς που φέρει το όνομα του συγκεκριμένου δημοσιογράφου, πριν καλέσει το κοινό της να «Διατηρηθούν Φυσικοί, Ελεύθεροι και Ανεξάρτητοι».

unjected διαρροή ευαίσθητων δεδομένων

“Όταν είστε έτοιμοι να αποχωριστείτε το Tinder ή το Bumble και να ανακαλύψετε μια υπέροχη και υγιή σχέση, επωφεληθείτε της ειδικής προσφοράς με τον κωδικό MIKAELISLONELY στο Unjected.com. Απολαύστε έκπτωση 25% στη συνδρομή του πρώτου μήνα, μια προσφορά που ισχύει για όλους τους αναγνώστες του Daily Dot.”, πρόσθεσε.

Δείτε επίσης: Rio Tinto: Τα προσωπικά δεδομένα του προσωπικού ενδέχεται να έχουν διαρρεύσει

Παρά τις ανησυχίες ασφαλείας, το Unjected δεν έχει εκδώσει καμία δήλωση στον ιστότοπό του ή στα προφίλ του στα κοινωνικά δίκτυα, επισημαίνοντας ότι τα προσωπικά δεδομένα των χρηστών του είναι εκτεθειμένα σε δυνητικές παραβιάσεις.

Πηγή: dailydot

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS