Un journaliste d’investigation a divulgué de grandes quantités de données personnelles provenant de plusieurs sites de rencontres suprémacistes blancs, après avoir identifié des failles de sécurité fondamentales permettant un accès illimité aux informations des utilisateurs. L’exposition se concentre sur WhiteDate, une plateforme de rencontres destinée aux utilisateurs cherchant des relations basées sur des croyances racistes et excluantes, ainsi que sur deux sites étroitement liés, WhiteChild et WhiteDeal, qui partageaient la même infrastructure et le même administrateur.
La journaliste, qui utilise le pseudonyme Martha Root, a déclaré que les sites étaient exploités par une seule personne basée en Allemagne et avaient été construits selon des cadres techniques similaires. Selon la divulgation, les plateformes de rencontres stockaient les données des utilisateurs de manière à pouvoir les télécharger sans authentification. Dans un cas, modifier une adresse web accessible publiquement a permis de récupérer l’ensemble de la base de données utilisateur sans se connecter ni fournir d’identifiants.
Le matériel exposé comprend plus de 8 000 profils utilisateurs et environ 100 Go de données. Comme ces plateformes fonctionnaient principalement comme des services de rencontres, les profils contenaient de nombreuses informations personnelles et relationnelles. Cela incluait l’âge, le sexe, la localisation, l’état civil, le niveau d’éducation, les détails d’emploi, la fourchette de revenus, les caractéristiques physiques et les préférences déclarées liées aux rencontres et à la planification familiale.
De nombreux profils sur WhiteDate et les sites associés incluaient également des photos téléchargées à des fins de matchmaking. Selon le journaliste, ces images conservaient des métadonnées intégrées qui n’avaient pas été supprimées par les plateformes. Les métadonnées comprenaient des horodatages et des coordonnées précises de localisation, qui pouvaient être utilisées pour déduire où les utilisateurs habitaient ou où les photos de profil avaient été prises.
Le journaliste a indiqué qu’aucune technique avancée de piratage n’était nécessaire pour accéder aux données. L’exposition résultait d’une configuration peu sécurisée et de l’absence de contrôles d’accès basiques. Les fonctions principales utilisées pour gérer les profils de rencontres et les enregistrements utilisateurs étaient accessibles sans autorisation appropriée, permettant des téléchargements massifs d’informations destinées à une communauté d’utilisateurs fermée.
Pour examiner le fonctionnement des plateformes de rencontres, le journaliste a créé des comptes utilisateurs automatisés acceptés avec une vérification minimale. Ces comptes pouvaient parcourir les profils et interagir avec les fonctionnalités du site de la même manière que les utilisateurs ordinaires. Le journaliste a indiqué que les messages privés échangés entre utilisateurs n’avaient pas été diffusés dans le cadre de la divulgation.
Les données collectées ont été partagées avec des journalistes et des chercheurs via Distributed Denial of Secrets, qui héberge des ensembles de données mis à disposition pour la recherche d’intérêt public. Un site web distinct créé par le journaliste visualisait la répartition géographique des utilisateurs à partir des données de localisation trouvées dans les profils et les fichiers d’images.
Les résultats ont été présentés lors d’une conférence sur la cybersécurité en Allemagne, où le journaliste a expliqué comment WhiteDate et les sites de rencontres associés ont géré de grands volumes de données personnelles sensibles sans mesures de sécurité standard. La présentation s’est concentrée sur les faiblesses techniques des plateformes et sur la manière dont ces faiblesses permettaient un accès illimité aux informations des utilisateurs.
Le journaliste a déclaré que le but de ce travail était de documenter le fonctionnement des sites de rencontres et de démontrer les conséquences de l’exploitation de services de mise en relation sans protections de sécurité de base. Cette exposition montre comment les données personnelles partagées à des fins de rencontres sur WhiteDate et les plateformes associées sont devenues accessibles au-delà du public cible des sites en raison de défaillances fondamentales de conception et de sécurité.