An Kreativität scheint es Impfgegnerinnen und Impfgegnern nicht zu mangeln. Einerseits hinsichtlich der kruden Theorien, mit denen das eigene Weltbild fernab von Fakten gestützt werden soll. Andererseits aber auch hinsichtlich daraus entsprungener Geschäftsideen. Es dauerte nicht lange, bis reichweitenstarke Protagonisten Survival-Kits zum Verkauf anboten – und eigene Job- und Datingplattformen für Ungeimpfte aus dem Boden sprossen. Das Problem dabei: Cybersicherheit scheinen die Betreiber dieser Dienste nicht immer ernst zu nehmen.

Konkret gemeint ist ein US-amerikanisches Projekt namens "Unjected", das sich selbst als Plattform für "ungeimpfte Menschen, die an medizinische Freiheit, Wahlfreiheit, Redefreiheit und körperliche Autonomie glauben", beschreibt. User haben dort nicht nur die Möglichkeit, Gleichgesinnte kennenzulernen, sondern können auch "mRNA-freie" Samen- oder Blutspenden anbieten.

Datenschutz mangelhaft

Bei all dem Fokus darauf, dass die User ungeimpft sind, kam jedoch der Schutz ihrer persönlichen Daten zu kurz. Wie "Daily Dot" berichtet, war das ausschließlich für Seitenadministratoren gedachte Dashboard zwischenzeitlich frei zugänglich. Dieses erlaubt eine umfassende Bearbeitung der Webseite und die Einsichtnahme in Nutzerinformationen, darunter der Name, das Geburtsdatum, die E-Mail-Adresse – und gegebenenfalls sogar die Postadresse.

Der Grund: Die Website wurde laut "The Verge" veröffentlicht, obwohl sie sich noch im "Debug"-Modus befand. Dieser ermöglicht Entwicklern den einfacheren Aufbau von Webseiten und das Aufspüren von Fehlern und Problemen. Vor der Veröffentlichung sollte er eigentlich deaktiviert werden.

Freies Spiel

Entdeckt hat diese schwerwiegende Schwachstelle ein griechischer Sicherheitsforscher mit dem Pseudonym GeopJr, der anhand eines speziell angelegten Test-Accounts vorführte, was alles möglich ist. Unter anderem soll es möglich gewesen sein, ein Backup aller Postings herunterzuladen oder zu löschen, Premium-Abonnements zu verschenken oder Supportanfragen zu beantworten. "Fast keine der Aktionen, die ein Administrator oder ein Benutzer durchführen kann, erfordern eine wie auch immer geartete Authentifizierung", erklärte GeopJr. "Jeder kann Teile der Datenbank und deren Inhalte direkt manipulieren."

Rauswurf

Unjected hat eigenen Angaben zufolge 110.000 Userinnen und User aus 85 Ländern, im Vergleich zu herkömmlichen Datingplattformen ist der Kundenstamm also relativ überschaubar. Wegen Verstößen gegen Richtlinien zu Covid-19 wurde die App bereits im August vergangenen Jahres aus Apples App Store geworfen. Für Android-Smartphones ist sie weiterhin verfügbar. Allzu beliebt scheint sie jedoch nicht zu sein, die Bewertung liegt bei 2,5 von fünf Sternen. Mittlerweile wurden die schwerwiegendsten Sicherheitslücken geschlossen. (red, 26.7.2022)