反vax交友网站通过“调试模式”漏洞为3500名用户暴露数据

根据每日Dot“Unjected”（一个专门为未接种2019冠状病毒疾病疫苗的人设计的约会网站）未能采取基本预防措施来确保用户数据的安全，导致敏感数据暴露，并允许任何人成为网站管理员。

“未连接”站点的设置是为了让知道如何查找它的任何人都可以完全访问管理员仪表板。通过此仪表板，管理员可以访问网站任何成员的用户信息，包括姓名、出生日期、电子邮件地址和（如果提供）他们的家庭地址。

配置错误是由名为GeopJr的安全研究人员发现的，他确认了该漏洞每日Dot通过编辑网站上的实时帖子。GeopJr显然注意到，该网站已在打开“调试模式”的情况下实时发布到web上，这是软件开发人员在使用应用程序时可以使用的一组特殊功能，在已部署的应用程序中，默认情况下不应启用这些功能。

使用这些功能，研究人员几乎可以对网站进行任何更改，包括添加或删除页面、免费订阅付费层服务，甚至删除整个备份后数据库。目前，该网站据信拥有约3500名用户，所有用户的数据都可以通过管理员功能访问。

尽管Unjucted的用户群很小，但它似乎对在未接种疫苗的社区之间建立联系怀有很大的雄心。除了提供约会服务外，Unjected还提供了一个“生育”部分，用户可以在这里提供精液、卵子或母乳进行捐赠。在网站的另一个部分，用户还可以通过列出他们的位置和血型来注册“血库”。血库和生育服务都被冠以帮助用户找到“无mRNA”捐赠者的标签，这是指辉瑞和Moderna 2019冠状病毒疾病疫苗中使用的mRNA分子。

2021，由于违反了苹果的2019冠状病毒疾病内容政策，该未连接的应用程序从苹果应用程序商店启动后，该未连接的网站现在是该项目的主要门户之一。然而，安卓用户仍然可以下载该应用程序，如果他们愿意的话：它目前仍在谷歌Play商店中列出，下载量超过1万次，平均评论数为2.5星。