Um jornalista investigativo revelou grandes volumes de dados pessoais obtidos de vários sites de namoro supremacistas brancos, após identificar falhas básicas de segurança que permitiam acesso irrestrito às informações dos usuários. A exposição se concentra no WhiteDate, uma plataforma de namoro voltada para usuários que buscam relacionamentos baseados em crenças racistas e excludentes, além de dois sites intimamente ligados, WhiteChild e WhiteDeal, que compartilhavam a mesma infraestrutura e administrador.
A jornalista, que usa o pseudônimo Martha Root, disse que os sites eram operados por um único indivíduo baseado na Alemanha e construídos usando estruturas técnicas semelhantes. De acordo com a divulgação, as plataformas de namoro armazenavam os dados dos usuários de forma a permitir que fossem baixados sem autenticação. Em um caso, modificar um endereço web acessível publicamente permitiu a recuperação de todo o banco de dados de usuários sem fazer login ou fornecer credenciais.
O material exposto inclui mais de 8.000 perfis de usuários e aproximadamente 100 GB de dados. Como as plataformas funcionavam principalmente como serviços de namoro, os perfis continham informações pessoais e focadas em relacionamentos extensos. Isso incluía idade, gênero, localização, estado civil, nível de escolaridade, detalhes de emprego, faixa de renda, características físicas e preferências declaradas relacionadas a namoro e planejamento familiar.
Muitos perfis no WhiteDate e nos sites relacionados também incluíam fotos enviadas para fins de matchmaking. Segundo o jornalista, essas imagens mantiveram metadados embutidos que não haviam sido removidos pelas plataformas. Os metadados incluíam carimbos de horário e coordenadas de localização precisas, que podiam ser usadas para inferir onde os usuários moravam ou onde as fotos de perfil eram tiradas.
O jornalista disse que não são necessárias técnicas avançadas de hacking para acessar os dados. A exposição resultou de uma configuração insegura e da ausência de controles básicos de acesso. Funções centrais usadas para gerenciar perfis de namoro e registros de usuário eram acessíveis sem a devida autorização, permitindo downloads em massa de informações destinadas a uma comunidade fechada de usuários.
Para analisar como as plataformas de namoro funcionavam, o jornalista criou contas automáticas de usuário que foram aceitas com verificação mínima. Essas contas podiam navegar por perfis e interagir com recursos do site da mesma forma que os usuários comuns. O jornalista disse que mensagens privadas trocadas entre usuários não foram divulgadas como parte da divulgação.
Os dados coletados foram compartilhados com jornalistas e pesquisadores por meio do Distributed Denial of Secrets, que hospeda conjuntos de dados disponibilizados para pesquisas de interesse público. Um site separado criado pelo jornalista visualizou a distribuição geográfica dos usuários com base em dados de localização encontrados em perfis e arquivos de imagens.
As conclusões foram apresentadas em uma conferência de cibersegurança na Alemanha, onde o jornalista explicou como o WhiteDate e os sites de namoro relacionados lidaram com grandes volumes de dados pessoais sensíveis sem salvaguardas padrão. A apresentação focou nas fraquezas técnicas das plataformas e em como essas fraquezas permitiram acesso irrestrito às informações dos usuários.
O jornalista disse que o objetivo do trabalho era documentar como os sites de namoro funcionavam e demonstrar as consequências de operar serviços de matchmaking sem proteções básicas de segurança. A exposição mostra como dados pessoais compartilhados para fins de namoro no WhiteDate e plataformas relacionadas se tornaram acessíveis além do público-alvo dos sites devido a falhas fundamentais de design e segurança.