Unjected, un site de rencontres pour les personnes antivaccins, n’a pas pris les prcautions de base pour assurer la scurit des donnes des utilisateurs, laissant des donnes sensibles exposes et permettant n’importe qui de devenir administrateur du site. Une analyse du site a rvl qu’il tait configur de manire laisser le tableau de bord de l’administrateur entirement accessible quiconque savait comment le chercher. Cela lui permet d’accder des informations sur n’importe quel membre du site, notamment son nom, sa date de naissance, son adresse lectronique et (si elle tait fournie) son adresse personnelle.
Lanc en aot 2021, Unjected prtend tre la « plus grande plateforme de non-vaccins » sur Internet. Unjected a d’abord fait les gros titres en aot dernier aprs que son application a t retire de l’App Store d’Apple pour avoir viol les politiques de l’entreprise concernant la Covid-19. Apple avait dclar l’application qu’elle fait rfrence de manire inapproprie la pandmie de la Covid-19 dans son concept ou son thme . Unjected a rpondu en dclarant sur Instagram que l’application offrait une autonomie mdicale et une libert de choix. Unjected a t lanc par deux mres d’Hawa Shelby Thomson, 27 ans, et Heather Pyle, 37 ans.
De conception similaire Twitter, et souvent qualifie de « Tinder pour les antivaccins », Unjected est rest sous le radar depuis cet pisode, ajoutant discrtement de nouvelles fonctionnalits pour sa petite base d’utilisateurs. Il propose dsormais ce qu’il dcrit comme des « annuaires de fertilit et de correspondance sanguine gratuits », o les utilisateurs non vaccins peuvent se donner mutuellement du sang, du sperme ou des ovules. Selon les experts, si certaines des annonces relatives au sang semblent lgitimes, d’autres, comme celle proposant du sperme provenant d’un donneur non vaccin contre la Covid-19, semblent avoir t faites pour plaisanter.
Seulement, il semble que les promoteurs, ainsi que les dveloppeurs, de Unjected semblent avoir pris la scurit du site un peu trop la lgre. Le programmeur et chercheur en scurit connu sous le nom de GeopJr, a dcouvert que le tableau de bord de l’administrateur du site tait mal configur et exposait les donnes personnelles de tous les utilisateurs. Ce tableau de bord permet aux administrateurs d’Unjected d’ajouter, de modifier ou de dsactiver des pages, telles que la section » propos de nous » du site, ainsi que les comptes des utilisateurs. GeopJr a en effet remarqu que l’application Web d’Unjected avait t laisse en mode dbogage.
GeopJr a signal la vulnrabilit au site Daily Dot, qui a pu accder aux parties sensibles du site Web et faire des manipulations normalement rserves aux modrateurs ou aux administrateurs. Aprs que le mdia ait cr un compte de test sur la plateforme, GeopJr a pu modifier l’adresse lectronique prive, le nom d’utilisateur et la photo de profil du compte. GeopJr a galement pu modifier un message public publi par le Daily Dot et en changer la formulation. Le chercheur en scurit a fait valoir que le site Web semblait avoir t mis en place la hte et que les protocoles de scurit de base avaient t ignors.
D’autres donnes, comme les sauvegardes du site, ont pu tre tlcharges ou supprimes. GeopJr tait en mesure d’offrir des abonnements de 15 dollars par mois Unjected, ainsi que de rpondre des tickets du centre d’aide et des messages signals, et de les supprimer. Presque aucune des actions qu’un administrateur ou un utilisateur peut entreprendre ne ncessite une quelconque forme d’authentification. N’importe qui peut manipuler directement des parties de sa base de donnes et de son contenu , a dclar GeopJr. Le site compterait environ 3 500 utilisateurs, dont les donnes sensibles ont t exposes.
Daily Dot affirme avoir envoy un courriel plus d’une douzaine d’utilisateurs aprs avoir obtenu les adresses lectroniques prives de tous les membres du site pour confirmer l’authenticit de la fuite. Aucun des utilisateurs n’aurait rpondu directement, mais l’un d’entre eux a admis avoir t contact et a publi l’e-mail sur le fil d’Unjected. De nombreux utilisateurs de la liste d’e-mails prtendaient mme travailler dans le domaine mdical. Une recherche sur l’une de ces adresses lectroniques a conduit la page LinkedIn d’une femme qui se disait spcialiste de la sant mentale et experte en « hypnose mdicale quantique ».
La cofondatrice de l’application, Shelby Thomson, a reconnu avoir pris connaissance des problmes de scurit dans un commentaire sur la plateforme aprs que des utilisateurs ont commenc s’adresser au service d’assistance du site. Thomson a dclar qu’elle allait avertir son quipe technique des problmes dcrits et commencer corriger les vulnrabilits. Cependant, les chercheurs notent que peu de temps aprs cette dclaration, des utilisateurs ont signal avoir rencontr de nombreux problmes sur Unjected, qui ont rendu leurs informations personnelles encore plus exposes qu’auparavant.
Par exemple, un utilisateur dit a reu un message indiquant que son compte n’existait pas alors qu’il tentait de se connecter Unjected. Il a dclar qu’aprs avoir cr un nouveau compte, l’application lui a demand son adresse personnelle et l’a publie. J’essaie d’tre aussi gentil que possible quand je dis, retirez l’application maintenant avant de vous retrouver devant les tribunaux et ne la publiez pas avant d’avoir effectu des tests de dveloppement de logiciels appropris. Je prends ma vie prive et ma scurit trs au srieux et votre application a plusieurs fois viol la confiance, la scurit, la vie prive et la sret , a crit l’utilisateur.
En rponse ce message cinglant, un autre utilisateur a affirm qu’aprs s’tre connect, il avait t redirig vers une page de code provenant de l’arrire-plan du site et rvlant son adresse e-mail, son adresse IP, les informations de son navigateur, etc. Tt vendredi, l’ensemble du site aurait t temporairement mis hors ligne avant de revenir. Bien que certains problmes aient t rsolus, d’autres subsistaient. Thomson n’a pas fait de dclaration sur les problmes persistants de Unjected, mais le site aurait t mis hors ligne plusieurs fois au cours du week-end, et n’est revenu qu’avec une partie des problmes corrigs, avant d’tre nouveau indisponible.
Unjected est de nouveau disponible depuis lundi et le problme le plus critique, l’exposition des donnes des utilisateurs, semble avoir t rsolu. De nombreux bogues non critiques subsisteraient toutefois. Certains critiques affirment que Unjected semble avoir t dvelopp par des amateurs et qu’il n’y aurait aucune quipe de scurit derrire comme le prtend Thomson. L’application mobile Unjected n’est actuellement disponible que sur le Google Play Store, car elle a t expulse de l’App Store d’Apple pour avoir viol les rgles de contenu Covid-19 de la socit. Sur Android, elle semble avoir t tlcharge plus de 10 000 fois.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du trs faible niveau de scurit du site Unjected ?
Pensez-vous que le site de rencontres a t dvelopp conformment des normes de scurit minimales ?
Comment expliquez-vous le fait que l’quipe de scurit mentionne par Thomson n’ait pas remarqu ces failles auparavant ?
Selon vous, le fait d’avoir laiss le site en mode dbogage en production est-il un oubli ou cela dcoule-t-il d’un travail d’amateur ?
Voir aussi