Een onderzoeksjournalist heeft grote hoeveelheden persoonlijke gegevens onthuld die afkomstig zijn van verschillende witte supremacistische datingsites, nadat hij basisbeveiligingsfouten had geïdentificeerd die onbeperkte toegang tot gebruikersinformatie mogelijk maakten. De exposure richt zich op WhiteDate, een datingplatform gericht op gebruikers die relaties zoeken op basis van racistische en exclusieve overtuigingen, samen met twee nauw verbonden sites, WhiteChild en WhiteDeal, die dezelfde infrastructuur en beheerder deelden.
De journaliste, die het pseudoniem Martha Root gebruikt, zei dat de sites werden beheerd door één persoon uit Duitsland en zijn opgebouwd volgens vergelijkbare technische kaders. Volgens de onthulling sloegen de datingplatforms gebruikersgegevens op op een manier die het mogelijk maakte deze zonder authenticatie te downloaden. In één geval maakte het wijzigen van een publiek toegankelijk webadres het mogelijk om de volledige gebruikersdatabase op te halen zonder in te loggen of inloggegevens te geven.
Het blootgelegde materiaal omvat meer dan 8.000 gebruikersprofielen en ongeveer 100 GB aan data. Omdat de platforms voornamelijk functioneerden als datingsites, bevatten de profielen uitgebreide persoonlijke en relatiegerichte informatie. Dit omvatte leeftijd, geslacht, locatie, burgerlijke staat, opleidingsniveau, werkgelegenheidsgegevens, inkomensbereik, fysieke kenmerken en opgegeven voorkeuren met betrekking tot daten en gezinsplanning.
Veel profielen op WhiteDate en de aanverwante sites bevatten ook foto’s die voor matchmakingdoeleinden zijn geüpload. Volgens de journalist behielden deze beelden ingebedde metadata die niet door de platforms waren verwijderd. De metadata omvatten tijdstempels en precieze locatiecoördinaten, die konden worden gebruikt om af te leiden waar gebruikers woonden of waar profielfoto’s waren gemaakt.
De journalist zei dat er geen geavanceerde hacktechnieken nodig waren om toegang te krijgen tot de gegevens. De blootstelling was het gevolg van een onveilige configuratie en het ontbreken van basistoegangscontroles. Kernfuncties die werden gebruikt om datingprofielen en gebruikersgegevens te beheren waren toegankelijk zonder de juiste autorisatie, waardoor massale downloads van informatie bedoeld voor een gesloten gebruikersgemeenschap mogelijk waren.
Om te onderzoeken hoe de datingplatforms werkten, maakte de journalist geautomatiseerde gebruikersaccounts aan die met minimale verificatie werden geaccepteerd. Deze accounts konden profielen bekijken en interactie hebben met sitefuncties op dezelfde manier als gewone gebruikers. De journalist zei dat privéberichten tussen gebruikers niet werden vrijgegeven als onderdeel van de openbaarmaking.
De verzamelde gegevens werden gedeeld met journalisten en onderzoekers via Distributed Denial of Secrets, dat datasets host die beschikbaar zijn gesteld voor publiek belang. Een aparte projectwebsite, gemaakt door de journalist, visualiseerde de geografische verspreiding van gebruikers op basis van locatiegegevens die in profielen en afbeeldingsbestanden te vinden zijn.
De bevindingen werden gepresenteerd op een cyberbeveiligingsconferentie in Duitsland, waar de journalist uiteenzette hoe WhiteDate en de gerelateerde datingsites omgingen met grote hoeveelheden gevoelige persoonlijke gegevens zonder standaardwaarborgen. De presentatie richtte zich op de technische zwaktes van de platforms en hoe deze zwaktes onbeperkte toegang tot gebruikersinformatie mogelijk maakten.
De journalist zei dat het doel van het werk was om te documenteren hoe de datingsites functioneerden en om de gevolgen te demonstreren van het runnen van matchmakingdiensten zonder basisbeveiliging. De blootstelling laat zien hoe persoonlijke gegevens die voor datingdoeleinden werden gedeeld op WhiteDate en aanverwante platforms toegankelijk werden buiten het beoogde publiek van de sites, door fundamentele ontwerp- en beveiligingsfouten.