За інформацією Daily Dot, Unfected не забезпечив елементарних запобіжних заходів для збереження даних користувачів. Конфіденційна інформація була відкритою, а будь-хто міг стати адміністратором сайту через неправильні налаштування.
Цікаво Російські хакери атакували маленьке канадське містечко: що вимагають за припинення IT-кошмару
Unfected: Unprotected
- Помилка конфігурації була виявлена дослідником безпеки, відомим як GeopJr. Він помітив, що сайт працював з увімкненим "режимом налагодження" – спеціальним набором функцій, які розробники програмного забезпечення використовують під час роботи над сайтом, і які ніколи не повинні бути включені за замовчуванням в уже розгорнутому для користувачів продукті.
- Сайт "Unfected" був налаштований таким чином, щоб панель адміністратора була повністю доступна для будь-кого, хто знав, як її шукати.
- За допомогою цієї інформаційної панелі адміністратор може отримати доступ до інформації будь-якого користувача сайту, включаючи їхні ім'я, дату народження, адресу електронної пошти та домашню адресу, якщо вона вказана. За інформацією джерела, на сайті зареєстровано близько 3500 користувачів.
- Для перевірки своїх прав доступу він відредагував кілька повідомлень на сайті. За словами дослідника йому були доступні практично будь-які зміни на сайті, включаючи додавання або видалення сторінок, керування підписками на платні сервіси та навіть видалення всієї бази даних резервних копій повідомлень.
Сайт наразі є для проєкту основним місцем діяльності після того, як у серпні 2021 року мобільний додаток було видалено з Apple App Store за порушення політики Apple щодо вмісту про COVID-19. Користувачі Android як і раніше можуть завантажити додаток з Google Play Store, де у нього понад 10 тисяч завантажень і середній рейтинг 2,5 зірки.