Un giornalista investigativo ha rivelato grandi volumi di dati personali raccolti da diversi siti di incontri suprematisti bianchi, dopo aver identificato fallimenti di sicurezza di base che consentivano l’accesso illimitato alle informazioni degli utenti. L’esposizione si concentra su WhiteDate, una piattaforma di incontri rivolta a utenti che cercano relazioni basate su credenze razziste ed esclusive, insieme a due siti strettamente collegati, WhiteChild e WhiteDeal, che condividevano la stessa infrastruttura e amministratore.
La giornalista, che usa lo pseudonimo Martha Root, ha detto che i siti erano gestiti da un singolo individuo con base in Germania e costruiti utilizzando quadri tecnici simili. Secondo la divulgazione, le piattaforme di incontri hanno conservato i dati degli utenti in modo da permettere il download senza autenticazione. In un caso, modificare un indirizzo web accessibile pubblicamente ha permesso di recuperare l’intero database utente senza effettuare il login o fornire credenziali.
Il materiale esposto include più di 8.000 profili utente e circa 100 GB di dati. Poiché le piattaforme funzionavano principalmente come servizi di incontri, i profili contenevano informazioni personali e incentrate sulle relazioni estese. Questi includevano età, genere, località, stato civile, livello di istruzione, dettagli lavorativi, fascia di reddito, caratteristiche fisiche e preferenze dichiarate relative agli appuntamenti e alla pianificazione familiare.
Molti profili su WhiteDate e sui siti correlati includevano anche fotografie caricate per scopi di matchmaking. Secondo il giornalista, queste immagini hanno mantenuto metadati incorporati che non erano stati rimossi dalle piattaforme. I metadati includevano timestamp e coordinate precise di località, che potevano essere utilizzate per dedurre dove vivevano gli utenti o dove venivano scattate le foto del profilo.
Il giornalista ha detto che non sono necessarie tecniche avanzate di hacking per accedere ai dati. L’esposizione è stata causata da una configurazione insicura e dall’assenza di controlli di accesso di base. Le funzioni principali utilizzate per gestire i profili di incontri e i record utente erano accessibili senza la dovuta autorizzazione, permettendo il download in massa di informazioni destinate a una comunità chiusa di utenti.
Per esaminare come funzionavano le piattaforme di incontri, il giornalista ha creato account utente automatici accettati con una verifica minima. Questi account potevano navigare tra i profili e interagire con le funzionalità del sito nello stesso modo degli utenti abituali. Il giornalista ha detto che i messaggi privati scambiati tra gli utenti non sono stati rilasciati come parte della divulgazione.
I dati raccolti sono stati condivisi con giornalisti e ricercatori tramite Distributed Denial of Secrets, che ospita dataset messi a disposizione per la ricerca di interesse pubblico. Un sito web separato creato dal giornalista visualizzava la distribuzione geografica degli utenti basandosi sui dati di localizzazione trovati nei profili e nei file immagini.
I risultati sono stati presentati a una conferenza sulla cybersecurity in Germania, dove il giornalista ha illustrato come WhiteDate e i siti di incontri correlati gestissero grandi volumi di dati personali sensibili senza le garanzie standard. La presentazione si è concentrata sulle debolezze tecniche delle piattaforme e su come tali debolezze abbiano permesso un accesso illimitato alle informazioni degli utenti.
Il giornalista ha detto che lo scopo del lavoro era documentare il funzionamento dei siti di incontri e dimostrare le conseguenze dell’operazione di servizi di matchmaking senza le protezioni di sicurezza di base. L’esposizione mostra come i dati personali condivisi a scopo di incontri su WhiteDate e piattaforme correlate siano diventati accessibili oltre il pubblico di riferimento dei siti a causa di fallimenti fondamentali di progettazione e sicurezza.