Esiste un’app di incontri per i fan di Trump? Sì, ed è un colabrodo

Ott 17, 2018 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, RSS, Vulnerabilità 0

L’applicazione è una sorta di Tinder dedicato ai supporter del presidente USA. Bastano 5 minuti per violarne i sistemi e ottenere qualsiasi informazione sugli iscritti.

Il fatto che esista un’app di incontri dedicata esclusivamente ai fan di Donald Trump potrebbe essere, già di per sé, una notizia. Il motivo per cui e parliamo su Security Info, però, non riguarda (solo) l’assurdità del progetto.

Gli sviluppatori di Donald Daters, infatti, sono anche i più quotati candidati al premio per la peggiore implementazione dei sistemi di sicurezza dell’anno.

L’app, che viene pubblicizzata con lo slogan Make America date again viene descritta come una “community che consente di incontrare amanti e amici che al tempo stesso sono supporter di Trump”. La logica che giustifica la sua esistenza, anche questa inserita nella descrizione dell’app, è tutto sommato sensata.

A differenza di quanto accade altre applicazioni che non distinguono riguardo l’orientamento politico degli iscritti, spiega lo sviluppatore, non si rischia di andare in bianco per le proprie opinioni.

“Molti nella sinistra preferiscono il partito all’amore, rinunciando a qualsiasi appuntamento se l’altro utente è un fan del nostro presidente”.

Non che il progetto abbia avuto un grande successo. Secondo il ricercatore di sicurezza Elliot Alderson, la community sarebbe composta da appena 1.607 utenti, con solo 128 incontri. La conversazione più lunga (62 messaggi) sarebbe avvenuta tra due degli sviluppatori in fase di test.

Ma come fa Alderson a saperlo? Come spiega in questo articolo, è riuscito ad accedere a tutti i sistemi di Donald Daters. Per farlo, ha impiegato la bellezza di 5 minuti.

Incuriosito dalla bizzarra app, Alderson spiega in un post sul suo blog che ha deciso di scaricarla e, dopo aver giochicchiato per un po’ come un qualsiasi utente, ha dato un’occhiata al codice dell’app.

Prima sorpresa: al suo interno erano presenti tutte le credenziali e le chiavi delle API, oltre all’indirizzo del server che contiene il database di Donald Daters.

Visto il (ridicolo) livello di sicurezza dell’app, Elliot ha deciso di dare un’occhiata anche alle configurazioni del server. E non è rimasto deluso: il database, infatti, era ancora impostato in modalità di sviluppo. Tradotto: chiunque vi poteva accedere.

A questo punto Alderson ha cominciato a darsi da fare utilizzando il materiale a disposizione e, nel giro di una manciata di minuti, è riuscito a mettere a punto un Proof of Concept che gli avrebbe permesso non solo di accedere a tutte le informazioni degli iscritti (dati personali, immagini, conversazioni e incontri) ma anche di modificarli a suo piacimento.

Per fortuna dei responsabili di Donald Daters, Alderson è un “white hat” e si è limitato a rendere pubblica la vulnerabilità, permettendogli così di correggere le impostazioni del database. La prossima volta, però, sarà bene che seguano il suo consiglio: “assumere sviluppatori competenti”.

Condividi l'articolo