IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Un site de rencontres pour les antivaccins a laissé toutes les données de ses membres exposées


Sujet :

Conception Web

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    juin 2016
    Messages
    2 534
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 534
    Points : 47 895
    Points
    47 895
    Par défaut Un site de rencontres pour les antivaccins a laissé toutes les données de ses membres exposées
    Un site de rencontres pour les antivaccins qui permet aux utilisateurs de faire de la publicité pour du sperme "sans ARNm" a laissé toutes les données de ses membres exposées
    selon un rapport

    Unjected, un site de rencontres pour les personnes antivaccins, n'a pas pris les précautions de base pour assurer la sécurité des données des utilisateurs, laissant des données sensibles exposées et permettant à n'importe qui de devenir administrateur du site. Une analyse du site a révélé qu'il était configuré de manière à laisser le tableau de bord de l'administrateur entièrement accessible à quiconque savait comment le chercher. Cela lui permet d'accéder à des informations sur n'importe quel membre du site, notamment son nom, sa date de naissance, son adresse électronique et (si elle était fournie) son adresse personnelle.

    Lancé en août 2021, Unjected prétend être la "plus grande plateforme de non-vaccinés" sur Internet. Unjected a d'abord fait les gros titres en août dernier après que son application a été retirée de l'App Store d'Apple pour avoir violé les politiques de l'entreprise concernant la Covid-19. Apple avait déclaré à l'application qu'elle « fait référence de manière inappropriée à la pandémie de la Covid-19 dans son concept ou son thème ». Unjected a répondu en déclarant sur Instagram que l'application offrait une autonomie médicale et une liberté de choix. Unjected a été lancé par deux mères d'Hawaï Shelby Thomson, 27 ans, et Heather Pyle, 37 ans.

    De conception similaire à Twitter, et souvent qualifiée de "Tinder pour les antivaccins", Unjected est resté sous le radar depuis cet épisode, ajoutant discrètement de nouvelles fonctionnalités pour sa petite base d'utilisateurs. Il propose désormais ce qu'il décrit comme des "annuaires de fertilité et de correspondance sanguine gratuits", où les utilisateurs non vaccinés peuvent se donner mutuellement du sang, du sperme ou des ovules. Selon les experts, si certaines des annonces relatives au sang semblent légitimes, d'autres, comme celle proposant du sperme provenant d'un donneur non vacciné contre la Covid-19, semblent avoir été faites pour plaisanter.

    Nom : 1.jpg
Affichages : 10494
Taille : 41,6 Ko

    Seulement, il semble que les promoteurs, ainsi que les développeurs, de Unjected semblent avoir pris la sécurité du site un peu trop à la légère. Le programmeur et chercheur en sécurité connu sous le nom de GeopJr, a découvert que le tableau de bord de l'administrateur du site était mal configuré et exposait les données personnelles de tous les utilisateurs. Ce tableau de bord permet aux administrateurs d'Unjected d'ajouter, de modifier ou de désactiver des pages, telles que la section "À propos de nous" du site, ainsi que les comptes des utilisateurs. GeopJr a en effet remarqué que l'application Web d'Unjected avait été laissée en mode débogage.

    GeopJr a signalé la vulnérabilité au site Daily Dot, qui a pu accéder aux parties sensibles du site Web et faire des manipulations normalement réservées aux modérateurs ou aux administrateurs. Après que le média ait créé un compte de test sur la plateforme, GeopJr a pu modifier l'adresse électronique privée, le nom d'utilisateur et la photo de profil du compte. GeopJr a également pu modifier un message public publié par le Daily Dot et en changer la formulation. Le chercheur en sécurité a fait valoir que le site Web semblait avoir été mis en place à la hâte et que les protocoles de sécurité de base avaient été ignorés.

    D'autres données, comme les sauvegardes du site, ont pu être téléchargées ou supprimées. GeopJr était en mesure d'offrir des abonnements de 15 dollars par mois à Unjected, ainsi que de répondre à des tickets du centre d'aide et à des messages signalés, et de les supprimer. « Presque aucune des actions qu'un administrateur ou un utilisateur peut entreprendre ne nécessite une quelconque forme d'authentification. N'importe qui peut manipuler directement des parties de sa base de données et de son contenu », a déclaré GeopJr. Le site compterait environ 3 500 utilisateurs, dont les données sensibles ont été exposées.

    Nom : 2.png
Affichages : 1847
Taille : 115,7 Ko

    Daily Dot affirme avoir envoyé un courriel à plus d'une douzaine d'utilisateurs après avoir obtenu les adresses électroniques privées de tous les membres du site pour confirmer l'authenticité de la fuite. Aucun des utilisateurs n'aurait répondu directement, mais l'un d'entre eux a admis avoir été contacté et a publié l'e-mail sur le fil d'Unjected. De nombreux utilisateurs de la liste d'e-mails prétendaient même travailler dans le domaine médical. Une recherche sur l'une de ces adresses électroniques a conduit à la page LinkedIn d'une femme qui se disait spécialiste de la santé mentale et experte en "hypnose médicale quantique".

    La cofondatrice de l'application, Shelby Thomson, a reconnu avoir pris connaissance des problèmes de sécurité dans un commentaire sur la plateforme après que des utilisateurs ont commencé à s'adresser au service d'assistance du site. Thomson a déclaré qu'elle allait avertir son équipe technique des problèmes décrits et commencer à corriger les vulnérabilités. Cependant, les chercheurs notent que peu de temps après cette déclaration, des utilisateurs ont signalé avoir rencontré de nombreux problèmes sur Unjected, qui ont rendu leurs informations personnelles encore plus exposées qu'auparavant.

    Par exemple, un utilisateur dit a reçu un message indiquant que son compte n'existait pas alors qu'il tentait de se connecter à Unjected. Il a déclaré qu'après avoir créé un nouveau compte, l'application lui a demandé son adresse personnelle et l'a publiée. « J'essaie d'être aussi gentil que possible quand je dis, retirez l'application maintenant avant de vous retrouver devant les tribunaux et ne la publiez pas avant d'avoir effectué des tests de développement de logiciels appropriés. Je prends ma vie privée et ma sécurité très au sérieux et votre application a plusieurs fois violé la confiance, la sécurité, la vie privée et la sûreté », a écrit l'utilisateur.

    Nom : 3.jpg
Affichages : 1838
Taille : 54,9 Ko

    En réponse à ce message cinglant, un autre utilisateur a affirmé qu'après s'être connecté, il avait été redirigé vers une page de code provenant de l'arrière-plan du site et révélant son adresse e-mail, son adresse IP, les informations de son navigateur, etc. Tôt vendredi, l'ensemble du site aurait été temporairement mis hors ligne avant de revenir. Bien que certains problèmes aient été résolus, d'autres subsistaient. Thomson n'a pas fait de déclaration sur les problèmes persistants de Unjected, mais le site aurait été mis hors ligne plusieurs fois au cours du week-end, et n'est revenu qu'avec une partie des problèmes corrigés, avant d'être à nouveau indisponible.

    Unjected est de nouveau disponible depuis lundi et le problème le plus critique, l'exposition des données des utilisateurs, semble avoir été résolu. De nombreux bogues non critiques subsisteraient toutefois. Certains critiques affirment que Unjected semble avoir été développé par des amateurs et qu'il n'y aurait aucune équipe de sécurité derrière comme le prétend Thomson. L'application mobile Unjected n'est actuellement disponible que sur le Google Play Store, car elle a été expulsée de l'App Store d'Apple pour avoir violé les règles de contenu Covid-19 de la société. Sur Android, elle semble avoir été téléchargée plus de 10 000 fois.

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous du très faible niveau de sécurité du site Unjected ?
    Pensez-vous que le site de rencontres a été développé conformément à des normes de sécurité minimales ?
    Comment expliquez-vous le fait que l'équipe de sécurité mentionnée par Thomson n'ait pas remarqué ces failles auparavant ?
    Selon vous, le fait d'avoir laissé le site en mode débogage en production est-il un oubli ou cela découle-t-il d'un travail d'amateur ?

    Voir aussi

    Apple supprime l'app de rencontres pour les non-vaccinés Unjected de l'App Store, pour avoir fait référence de manière «inappropriée» à la pandémie. Les propriétaires crient à la censure

    Microsoft corrige le bogue de l'an 2022 qui a perturbé le courrier électronique dans le monde entier, une erreur qui empêchait les serveurs de prendre en compte l'année 2022

    Un « bogue » dans l'algorithme de Facebook a engendré une mise en avant de la désinformation sur des fils d'actualités, il n'a été corrigé que six mois plus tard

    Des milliers de sites Web utilisent un plug-in WordPress bogué qui permet une prise de contrôle complète d'un site, toutes les versions seraient concernées et il n'y a pas de correctif
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    janvier 2014
    Messages
    1 334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 334
    Points : 5 068
    Points
    5 068
    Par défaut
    Quelle bande de guignols
    « L’humour est une forme d'esprit railleuse qui s'attache à souligner le caractère comique, ridicule, absurde ou insolite de certains aspects de la réalité »

  3. #3
    Membre averti
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2018
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Russie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2018
    Messages : 82
    Points : 427
    Points
    427
    Par défaut
    Je vois écris Célestin partout sur ce site, est-ce bien normal ?
    Tout ne semble pas résolu

  4. #4
    Expert confirmé
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    2 238
    Détails du profil
    Informations personnelles :
    Âge : 52
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 2 238
    Points : 4 104
    Points
    4 104
    Par défaut
    les vaccins c'est comme un site web ... on se protege en amont pour ne pas avoir de problemes apres
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  5. #5
    Membre régulier
    Homme Profil pro
    Gestionnaire de projet dans le BTP
    Inscrit en
    janvier 2017
    Messages
    72
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Gestionnaire de projet dans le BTP
    Secteur : Bâtiment Travaux Publics

    Informations forums :
    Inscription : janvier 2017
    Messages : 72
    Points : 103
    Points
    103
    Par défaut
    "sperme provenant d'un donneur non vacciné contre la Covid-19"
    Si ce que certains disent est vrai (propagation de Spike), il va y avoir de l'argent à gagner sur ce sujet. Vite, une start-up !

Discussions similaires

  1. Recherche template de site avec identification pour les utilisateurs
    Par davidkungfu dans le forum Bibliothèques et frameworks
    Réponses: 0
    Dernier message: 04/08/2010, 20h18
  2. Site web personnaliser pour les clients
    Par funpro dans le forum Débuter
    Réponses: 4
    Dernier message: 14/04/2010, 17h28
  3. Réponses: 7
    Dernier message: 12/09/2008, 15h57
  4. [Upload] Site de rencontre pour Mobile
    Par pdtor dans le forum Langage
    Réponses: 1
    Dernier message: 16/05/2007, 10h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo