Ein investigativer Journalist hat große Mengen an persönlichen Daten aus mehreren weiß-suprematistischen Dating-Websites veröffentlicht, nachdem er grundlegende Sicherheitslücken identifiziert hatte, die uneingeschränkten Zugriff auf Nutzerinformationen ermöglichten. Die Aufmerksamkeit konzentriert sich auf WhiteDate, eine Dating-Plattform, die sich an Nutzer richtet, die Beziehungen auf Basis rassistischer und ausschließender Überzeugungen suchen, sowie auf zwei eng miteinander verbundenen Seiten, WhiteChild und WhiteDeal, die dieselbe Infrastruktur und Administratorin teilen.
Die Journalistin, die das Pseudonym Martha Root verwendet, sagte, die Seiten seien von einer einzigen Person mit Sitz in Deutschland betrieben und mit ähnlichen technischen Rahmenwerken aufgebaut worden. Laut der Offenlegung speicherten die Dating-Plattformen Nutzerdaten so, dass sie ohne Authentifizierung heruntergeladen werden konnten. In einem Fall ermöglichte die Änderung einer öffentlich zugänglichen Webadresse das Abrufen der gesamten Benutzerdatenbank ohne Anmeldung oder Bereitstellung von Zugangsdaten.
Das freigelegte Material umfasst mehr als 8.000 Benutzerprofile und etwa 100 GB Daten. Da die Plattformen hauptsächlich als Dating-Dienste fungierten, enthielten die Profile umfangreiche persönliche und beziehungsbezogene Informationen. Dazu gehörten Alter, Geschlecht, Wohnort, Familienstand, Bildungsniveau, Beschäftigungsdetails, Einkommensspanne, körperliche Merkmale und erklärte Präferenzen in Bezug auf Dating und Familienplanung.
Viele Profile auf WhiteDate und den verwandten Seiten enthielten auch Fotos, die zu Partnervermittlungszwecken hochgeladen wurden. Laut dem Journalisten enthielten diese Bilder eingebettete Metadaten, die von den Plattformen nicht entfernt worden waren. Die Metadaten enthielten Zeitstempel und präzise Standortkoordinaten, die verwendet werden konnten, um herauszufinden, wo Nutzer wohnten oder wo Profilfotos aufgenommen wurden.
Der Journalist sagte, dass keine fortschrittlichen Hacking-Techniken erforderlich seien, um auf die Daten zuzugreifen. Die Enthüllung resultierte aus einer unsicheren Konfiguration und dem Fehlen grundlegender Zugangskontrollen. Kernfunktionen, die zur Verwaltung von Dating-Profilen und Benutzerdaten verwendet wurden, waren ohne ordnungsgemäße Genehmigung zugänglich, was Massendownloads von Informationen für eine geschlossene Nutzergemeinschaft ermöglichte.
Um zu untersuchen, wie die Dating-Plattformen funktionierten, erstellte der Journalist automatisierte Benutzerkonten, die mit minimaler Überprüfung akzeptiert wurden. Diese Konten konnten Profile durchsuchen und mit den Funktionen der Seite interagieren, ähnlich wie normale Nutzer. Der Journalist sagte, private Nachrichten, die zwischen Nutzern ausgetauscht wurden, seien im Rahmen der Offenlegung nicht veröffentlicht worden.
Die gesammelten Daten wurden mit Journalisten und Forschern über Distributed Denial of Secrets geteilt, das Datensätze für die Forschung im öffentlichen Interesse bereitstellt. Eine separate Projektwebsite, die vom Journalisten erstellt wurde, visualisierte die geografische Verteilung der Nutzer anhand von Standortdaten, die in Profilen und Bilddateien gefunden wurden.
Die Ergebnisse wurden auf einer Cybersicherheitskonferenz in Deutschland vorgestellt, wo der Journalist darlegte, wie WhiteDate und die zugehörigen Dating-Seiten große Mengen sensibler personenbezogener Daten ohne standardisierte Schutzmaßnahmen behandelten. Die Präsentation konzentrierte sich auf die technischen Schwächen der Plattformen und darauf, wie diese Schwächen einen uneingeschränkten Zugang zu Nutzerinformationen ermöglichten.
Der Journalist sagte, der Zweck der Arbeit sei darin, zu dokumentieren, wie die Dating-Websites funktionierten, und die Folgen des Betriebs von Partnervermittlungsdiensten ohne grundlegende Sicherheitsvorkehrungen aufzuzeigen. Die Offenlegung zeigt, wie persönliche Daten, die für Dating-Zwecke auf WhiteDate und verwandten Plattformen geteilt wurden, aufgrund grundlegender Design- und Sicherheitsmängel außerhalb der Zielgruppe der Seiten zugänglich wurden.