Un periodista de investigación ha revelado grandes volúmenes de datos personales obtenidos de varios sitios web de citas supremacistas blancos, tras identificar fallos básicos de seguridad que permitían el acceso sin restricciones a la información de los usuarios. La exposición se centra en WhiteDate, una plataforma de citas dirigida a usuarios que buscan relaciones basadas en creencias racistas y excluyentes, junto con dos sitios estrechamente relacionados, WhiteChild y WhiteDeal, que compartían la misma infraestructura y administrador.
La periodista, que usa el seudónimo Martha Root, dijo que los sitios eran gestionados por una sola persona con base en Alemania y se construyeron utilizando marcos técnicos similares. Según la divulgación, las plataformas de citas almacenaban los datos de los usuarios de una manera que permitía descargarlos sin autenticación. En un caso, modificar una dirección web accesible públicamente permitió recuperar toda la base de datos de usuarios sin iniciar sesión ni proporcionar credenciales.
El material expuesto incluye más de 8.000 perfiles de usuario y aproximadamente 100 GB de datos. Como las plataformas funcionaban principalmente como servicios de citas, los perfiles contenían información personal y centrada en relaciones. Esto incluía edad, género, ubicación, estado civil, nivel educativo, detalles laborales, rango de ingresos, características físicas y preferencias declaradas relacionadas con las citas y la planificación familiar.
Muchos perfiles en WhiteDate y en los sitios relacionados también incluían fotografías subidas para fines de emparejamiento. Según el periodista, estas imágenes conservaban metadatos incrustados que no habían sido eliminados por las plataformas. Los metadatos incluían marcas de tiempo y coordenadas de ubicación precisas, que podían usarse para inferir dónde vivían los usuarios o dónde se tomaban las fotos de perfil.
El periodista afirmó que no se requieren técnicas avanzadas de hackeo para acceder a los datos. La exposición se debió a una configuración insegura y a la ausencia de controles básicos de acceso. Las funciones principales utilizadas para gestionar perfiles de citas y registros de usuario eran accesibles sin la debida autorización, lo que permitía descargas masivas de información destinada a una comunidad cerrada.
Para examinar cómo funcionaban las plataformas de citas, el periodista creó cuentas de usuario automatizadas que fueron aceptadas con mínima verificación. Estas cuentas podían navegar por perfiles e interactuar con las funciones del sitio de la misma manera que los usuarios habituales. El periodista afirmó que los mensajes privados intercambiados entre usuarios no fueron divulgados como parte de la divulgación.
Los datos recogidos se compartieron con periodistas e investigadores a través de Distributed Denial of Secrets, que aloja conjuntos de datos disponibles para la investigación de interés público. Un sitio web separado creado por el periodista visualizó la distribución geográfica de los usuarios basándose en datos de ubicación encontrados en perfiles e imágenes de archivos.
Los hallazgos se presentaron en una conferencia de ciberseguridad en Alemania, donde el periodista explicó cómo WhiteDate y los sitios de citas relacionados gestionaban grandes volúmenes de datos personales sensibles sin salvaguardas estándar. La presentación se centró en las debilidades técnicas de las plataformas y cómo estas debilidades permitían el acceso sin restricciones a la información de los usuarios.
El periodista dijo que el propósito del trabajo era documentar cómo funcionaban los sitios de citas y demostrar las consecuencias de operar servicios de emparejamiento sin protecciones básicas de seguridad. La exposición muestra cómo los datos personales compartidos con fines de citas en WhiteDate y plataformas relacionadas se hicieron accesibles más allá del público objetivo de los sitios debido a fallos fundamentales en el diseño y la seguridad.