Unjected, un site de rencontres pour les personnes antivaccins, n'a pas pris les précautions de base pour assurer la sécurité des données des utilisateurs, laissant des données sensibles exposées et permettant à n'importe qui de devenir administrateur du site. Une analyse du site a révélé qu'il était configuré de manière à laisser le tableau de bord de l'administrateur entièrement accessible à quiconque savait comment le chercher. Cela lui permet d'accéder à des informations sur n'importe quel membre du site, notamment son nom, sa date de naissance, son adresse électronique et (si elle était fournie) son adresse personnelle.Lancé en août 2021, Unjected prétend être la "plus grande plateforme de non-vaccinés" sur Internet. Unjected a d'abord fait les gros titres en août dernier après que son application a été retirée de l'App Store d'Apple pour avoir violé les politiques de l'entreprise concernant la Covid-19. Apple avait déclaré à l'application qu'elle « fait référence de manière inappropriée à la pandémie de la Covid-19 dans son concept ou son thème ». Unjected a répondu en déclarant sur Instagram que l'application offrait une autonomie médicale et une liberté de choix. Unjected a été lancé par deux mères d'Hawaï Shelby Thomson, 27 ans, et Heather Pyle, 37 ans.
De conception similaire à Twitter, et souvent qualifiée de "Tinder pour les antivaccins", Unjected est resté sous le radar depuis cet épisode, ajoutant discrètement de nouvelles fonctionnalités pour sa petite base d'utilisateurs. Il propose désormais ce qu'il décrit comme des "annuaires de fertilité et de correspondance sanguine gratuits", où les utilisateurs non vaccinés peuvent se donner mutuellement du sang, du sperme ou des ovules. Selon les experts, si certaines des annonces relatives au sang semblent légitimes, d'autres, comme celle proposant du sperme provenant d'un donneur non vacciné contre la Covid-19, semblent avoir été faites pour plaisanter.
Seulement, il semble que les promoteurs, ainsi que les développeurs, de Unjected semblent avoir pris la sécurité du site un peu trop à la légère. Le programmeur et chercheur en sécurité connu sous le nom de GeopJr, a découvert que le tableau de bord de l'administrateur du site était mal configuré et exposait les données personnelles de tous les utilisateurs. Ce tableau de bord permet aux administrateurs d'Unjected d'ajouter, de modifier ou de désactiver des pages, telles que la section "À propos de nous" du site, ainsi que les comptes des utilisateurs. GeopJr a en effet remarqué que l'application Web d'Unjected avait été laissée en mode débogage.
GeopJr a signalé la vulnérabilité au site Daily Dot, qui a pu accéder aux parties sensibles du site Web et faire des manipulations normalement réservées aux modérateurs ou aux administrateurs. Après que le média ait créé un compte de test sur la plateforme, GeopJr a pu modifier l'adresse électronique privée, le nom d'utilisateur et la photo de profil du compte. GeopJr a également pu modifier un message public publié par le Daily Dot et en changer la formulation. Le chercheur en sécurité a fait valoir que le site Web semblait avoir été mis en place à la hâte et que les protocoles de sécurité de base avaient été ignorés.
D'autres données, comme les sauvegardes du site, ont pu être téléchargées ou supprimées. GeopJr était en mesure d'offrir des abonnements de 15 dollars par mois à Unjected, ainsi que de répondre à des tickets du centre d'aide et à des messages signalés, et de les supprimer. « Presque aucune des actions qu'un administrateur ou un utilisateur peut entreprendre ne nécessite une quelconque forme d'authentification. N'importe qui peut manipuler directement des parties de sa base de données et de son contenu », a déclaré GeopJr. Le site compterait environ 3 500 utilisateurs, dont les données sensibles ont été exposées.
Daily Dot affirme avoir envoyé un courriel à plus d'une douzaine d'utilisateurs après avoir obtenu les adresses électroniques privées de tous les membres du site pour confirmer l'authenticité de la fuite. Aucun des utilisateurs n'aurait répondu directement, mais l'un d'entre eux a admis avoir été contacté et a publié l'e-mail sur le fil d'Unjected. De nombreux utilisateurs de la liste d'e-mails prétendaient même travailler dans le domaine médical. Une recherche sur l'une de ces adresses électroniques a conduit à la page LinkedIn d'une femme qui se disait spécialiste de la santé mentale et experte en "hypnose médicale quantique".
La cofondatrice de l'application, Shelby Thomson, a reconnu avoir pris connaissance des problèmes de sécurité dans un commentaire sur la plateforme après que des utilisateurs ont commencé à s'adresser au service d'assistance du site. Thomson a déclaré qu'elle allait avertir son équipe technique des problèmes décrits et commencer à corriger les vulnérabilités. Cependant, les chercheurs notent que peu de temps après cette déclaration, des utilisateurs ont signalé avoir rencontré de nombreux problèmes sur Unjected, qui ont rendu leurs informations personnelles encore plus exposées qu'auparavant.
Par exemple, un utilisateur dit a reçu un message indiquant que son compte n'existait pas alors qu'il tentait de se connecter à Unjected. Il a déclaré qu'après avoir créé un nouveau compte, l'application lui a demandé son adresse personnelle et l'a publiée. « J'essaie d'être aussi gentil que possible quand je dis, retirez l'application maintenant avant de vous retrouver devant les tribunaux et ne la publiez pas avant d'avoir effectué des tests de développement de logiciels appropriés. Je prends ma vie privée et ma sécurité très au sérieux et votre application a plusieurs fois violé la confiance, la sécurité, la vie privée et la sûreté », a écrit l'utilisateur.
En réponse à ce message cinglant, un autre utilisateur a affirmé qu'après s'être connecté, il avait été redirigé vers une page de code provenant de l'arrière-plan du site et révélant son adresse e-mail, son adresse IP, les informations de son navigateur, etc. Tôt vendredi, l'ensemble du site aurait été temporairement mis hors ligne avant de revenir. Bien que certains problèmes aient été résolus, d'autres subsistaient. Thomson n'a pas fait de déclaration sur les problèmes persistants de Unjected, mais le site aurait été mis hors ligne plusieurs fois au cours du week-end, et n'est revenu qu'avec une partie des problèmes corrigés, avant d'être à nouveau indisponible.
Unjected est de nouveau disponible depuis lundi et le problème le plus critique, l'exposition des données des utilisateurs, semble avoir été résolu. De nombreux bogues non critiques subsisteraient toutefois. Certains critiques affirment que Unjected semble avoir été développé par des amateurs et qu'il n'y aurait aucune équipe de sécurité derrière comme le prétend Thomson. L'application mobile Unjected n'est actuellement disponible que sur le Google Play Store, car elle a été expulsée de l'App Store d'Apple pour avoir violé les règles de contenu Covid-19 de la société. Sur Android, elle semble avoir été téléchargée plus de 10 000 fois.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous du très faible niveau de sécurité du site Unjected ? Pensez-vous que le site de rencontres a été développé conformément à des normes de sécurité minimales ? Comment expliquez-vous le fait que l'équipe de sécurité mentionnée par Thomson n'ait pas remarqué ces failles auparavant ? Selon vous, le fait d'avoir laissé le site en mode débogage en production est-il un oubli ou cela découle-t-il d'un travail d'amateur ?Voir aussi
Apple supprime l'app de rencontres pour les non-vaccinés Unjected de l'App Store, pour avoir fait référence de manière «inappropriée» à la pandémie. Les propriétaires crient à la censure Microsoft corrige le bogue de l'an 2022 qui a perturbé le courrier électronique dans le monde entier, une erreur qui empêchait les serveurs de prendre en compte l'année 2022 Un « bogue » dans l'algorithme de Facebook a engendré une mise en avant de la désinformation sur des fils d'actualités, il n'a été corrigé que six mois plus tard Des milliers de sites Web utilisent un plug-in WordPress bogué qui permet une prise de contrôle complète d'un site, toutes les versions seraient concernées et il n'y a pas de correctif 
