Bir araştırmacı gazeteci, kullanıcı bilgilerine sınırsız erişim sağlayan temel güvenlik hatalarını tespit ettikten sonra, birkaç beyaz üstünlükçü tanışma sitesinden alınan büyük miktarda kişisel veri açıkladı. Tanıtım, ırkçı ve dışlayıcı inançlara dayalı ilişkiler arayan kullanıcılara yönelik bir arkadaşlık platformu olan WhiteDate ile aynı altyapı ve yöneticiyi paylaşan iki yakından bağlantılı site olan WhiteChild ve WhiteDeal üzerine odaklanıyor.
Martha Root takma adını kullanan gazeteci, sitelerin Almanya’da yaşayan tek bir kişi tarafından işletildiğini ve benzer teknik çerçeveler kullanılarak inşa edildiğini söyledi. Açıklamaya göre, flört platformları kullanıcı verilerini kimlik doğrulaması olmadan indirilebilecek şekilde saklamıştı. Bir durumda, halka açık bir web adresini değiştirmek, giriş yapmadan veya kimlik bilgileri vermeden tüm kullanıcı veritabanının alınmasını mümkün kıldı.
Maruz kalan materyal, 8.000’den fazla kullanıcı profili ve yaklaşık 100 GB veri içermektedir. Platformlar öncelikle flört hizmetleri olarak çalıştığı için, profiller kapsamlı kişisel ve ilişki odaklı bilgiler içeriyordu. Buna yaş, cinsiyet, konum, medeni durum, eğitim seviyesi, istihdam detayları, gelir aralığı, fiziksel özellikler ve flört ile aile planlamasıyla ilgili belirtilen tercihler dahildi.
WhiteDate ve ilgili sitelerdeki birçok profilde eşleştirme amacıyla yüklenen fotoğraflar da yer aldı. Gazetecinin belirttiği gibi, bu görüntüler platformlar tarafından kaldırılmamış gömülü meta verileri barındırıyordu. Meta veriler, kullanıcıların nerede yaşadığını veya profil fotoğraflarının çekildiğini tahmin etmek için kullanılan zaman damgaları ve kesin konum koordinatlarını içeriyordu.
Gazeteci, verilere erişmek için gelişmiş bir hackleme tekniklerine ihtiyaç olmadığını belirtti. Bu maruziyet, güvensiz bir yapılandırma ve temel erişim kontrollerinin eksikliğinden kaynaklanıyordu. Flört profillerini ve kullanıcı kayıtlarını yönetmek için kullanılan temel işlevler, uygun yetki olmadan erişilebilir hale geliyordu ve kapalı kullanıcı topluluğu için nitelendirilen bilgilerin toplu olarak indirilmesine olanak tanıyordu.
Flört platformlarının nasıl çalıştığını incelemek için gazeteci, minimum doğrulama ile kabul edilen otomatik kullanıcı hesapları oluşturdu. Bu hesaplar, profilleri gezdirebiliyor ve site özellikleriyle etkileşime girebiliyordu, böylece normal kullanıcılar gibi. Gazeteci, kullanıcılar arasında paylaşılan özel mesajların açıklama kapsamında yayımlanmadığını söyledi.
Toplanan veriler, kamu yararına araştırma için sunulan veri setlerini barındıran Distributed Denial of Secrets aracılığıyla gazeteciler ve araştırmacılarla paylaşıldı. Gazeteci tarafından oluşturulan ayrı bir proje web sitesi, profillerde ve görsel dosyalarda bulunan konum verilerine dayanarak kullanıcıların coğrafi dağılımını görselleştirdi.
Bulgular, Almanya’da düzenlenen bir siber güvenlik konferansında sunuldu; gazeteci, WhiteDate ve ilgili flört sitelerinin standart koruma olmadan büyük hacimli hassas kişisel verileri nasıl ele aldığını açıkladı. Sunum, platformların teknik zayıflıklarına ve bu zayıflıkların kullanıcı bilgilerine sınırsız erişime nasıl olanak sağladığına odaklandı.
Gazeteci, çalışmanın amacının arkadaşlık sitelerinin nasıl işlediğini belgelemek ve temel güvenlik önlemleri olmadan eşleştirme hizmetleri işletmenin sonuçlarını göstermek olduğunu söyledi. Bu açıklama, WhiteDate ve ilgili platformlarda flört amacıyla paylaşılan kişisel verilerin, temel tasarım ve güvenlik hataları nedeniyle sitelerin hedef kitlesinin ötesinde nasıl erişilebilir hale geldiğini gösteriyor.