"Tinder für Impfgegner" bietet "mRNA-freies" Sperma an: Datenleak

Eine Dating-Webseite, auf der unter anderem “mRNA-freies” Sperma oder Eizellen angeboten wurden, ist Opfer eines riesigen Datenleaks geworden. Das Admin-Dashboard von “Unjected” war laut dem Sicherheitsforscher mit dem Pseudonym GeopJr offen im Netz zugänglich. Dort konnten Benutzer*innenkonten erstellt, eingesehen, bearbeitet oder deaktiviert werden, wie Daily Dot exklusiv berichtet. 

Entdeckt hat GeopJr die Sicherheitslücke, nachdem er bemerkt hatte, dass das Web-Application-Framework im Debug-Modus belassen wurde. Dadurch konnte er Informationen auslesen, die „die jemand mit böswilliger Absicht missbrauchen könnte“.

Weitreichende Rechte

Konten konnten ohne Admin-Zugangsdaten eingesehen und modifiziert werden. Außerdem konnte GeopJr einen öffentlichen Beitrag bearbeiten sowie Backups der Webseite herunterladen und löschen. Zudem konnte er Unjected-Abos im Wert von 15 US-Dollar pro Monat verschenken sowie Support-Tickets und gemeldete Posts beantworten und löschen.

Gegenüber Daily Dot gab GeopJr an, dass die Webseite offenbar hastig aufgesetzt und grundlegende Sicherheitsprotokolle missachtet wurden. „Fast keine Aktion, die die Admins oder Benutzer*innen ausführen können, erfordert irgendeine Art von Authentifizierung“, so der Experte. „Jeder kann Teile der Datenbank und deren Inhalte direkt manipulieren“, so GeopJr.

Seite zwischenzeitlich offline

Unjected-Mitgründerin Shelby Thomson gestand die Probleme in einem Posting auf der Plattform ein, auch meldeten einige Anwender*innen deswegen Bedenken an. Die Seite ging anschließend zwischenzeitlich offline. Als sie wieder verfügbar war, waren einige Probleme repariert, andere bestehen jedoch nach wie vor. Eine weitere Stellungnahme der Betreiber*innen liegt nicht vor.

Mitte 2021 sorgte Unjected für Schlagzeilen, nachdem die entsprechende App aus dem App Store geflogen war.