Saltar al contenido

Otra aplicación de fitness móvil expone los datos de los usuarios

Por lo menos por tercera vez en los últimos meses, un fabricante de una aplicación de fitness móvil aparentemente ha expuesto la información personal confidencial de los consumidores.

En el último incidente, el investigador independiente Oliver Hough descubrió que la empresa de fitness PumpUp, con sede en Ontario, Canadá, estaba exponiendo datos confidenciales de salud del consumidor y mensajes privados entre usuarios a través de un servidor back-end no protegido alojado en la infraestructura de la nube de Amazon.

La compañía PumpUp compromete información de usuarios con aplicación de fitness móvil

Según los informes, el investigador se contactó con el sitio de noticias ZDNet para investigar la situación, según una historia publicada el 31 de mayo en el sitio web de la compañía de medios.

Hough confirmó a Information Security Media Group que el 23 de mayo descubrió los datos de consumidores de PumpUp, incluidas las direcciones de correo electrónico de los usuarios, registros de ubicación y entrenamiento. Así como información médica autoinformada, como altura y peso. Y cierta información de la tarjeta de crédito sin encriptar., incluidos los números de tarjeta, fue accesible en el servidor Amazon no seguro.

«El servidor MQTT no tenía ninguna autenticación habilitada. Cualquiera que tenga el conocimiento para conectarse a un MQTT podría conectarse y ver todos los mensajes en tránsito», dice Hough.

ZDNet informa que intentó durante más de una semana informar a PumpUp de la infracción. Pero el proveedor no respondió. PumpUp tampoco respondió de inmediato a una solicitud de ISMG para hacer comentarios sobre la infracción.

Hough le dice a ISMG que el servidor PumpUp que había estado filtrando datos de consumo durante un período de tiempo desconocido parece haberse desconectado.

«Silenciosamente cerraron el acceso, el servidor MQTT ya no responde en absoluto», dice Hough. «No puedo decir mucho más. Ya que PumpUp no me hablará a mí ni a nadie más», agregó.

Se informa que PumpUp tiene alrededor de 6 millones de miembros que usan sus aplicaciones, según ZDNet. Hough dice que no está seguro de la cantidad de datos expuestos en el servidor no seguro.

Fortalecer la seguridad

Entonces, ¿qué hacen los creadores de estas aplicaciones que hacen mal cuando se trata de seguridad?

El incumplimiento de PumpUp parece haber sido el resultado de controles de seguridad mal configurados, señala Keith Fricke, consultor principal de tw-Security.

«Los fabricantes de aplicaciones deben garantizar que sus procesos de control de calidad no solo comprueben la práctica de codificación segura, sino que las prácticas de administración de configuración / gestión de la configuración deben vigilar de cerca los controles de seguridad, incluso los básicos, como las contraseñas en este caso», dice Fricke.

Hough dice que las fallas de seguridad en las aplicaciones de fitness «casi siempre se deben a que las empresas no hacen lo suficiente para controlar de manera proactiva qué servicios tienen en línea, a dónde se dirigen, interno o por Internet, y qué está abierto. Muchos servicios se ejecutan en múltiples puertos».

En el incidente de PumpUp, agrega Hough, «tenían detalles de tarjeta de crédito no cifrados, es seguridad de información 101 para encriptar siempre detalles financieros en reposo y en tránsito».

Consejos para los consumidores

Los incidentes recientes ofrecen varias lecciones críticas para los consumidores que usan alguna aplicación de fitness móvil. Así como para las compañías que desarrollan o proporcionan las aplicaciones a los consumidores, señala Hough.

«Los consumidores realmente necesitan entender que cuando usas aplicaciones como esta. Implícitamente confías en que la compañía cuide tu información cuidadosamente. Y en mi trabajo veo que esto no suele ser el caso», dice Hough.

En demasiados casos, los datos no se eliminan cuando un consumidor deja un servicio, sostiene Hough. «Muchos consumidores piensan que ‘eliminar mi cuenta’ también significa ‘destruir todos mis datos’. Pero a menudo su inicio de sesión está deshabilitado y su perfil fuera de la vista. Pero sus datos seguirán allí y aún serán vulnerables si se infringen».

Fricke dice que los consumidores siempre deben leer detenidamente los acuerdos de licencia de uso final de los proveedores.

Tratar de comprender qué expectativas establece el proveedor que proporciona la aplicación de salud móvil con respecto a la privacidad.

Las aplicaciones de salud y los dispositivos portátiles «no tienen un buen historial cuando se trata de divulgar lo que hacen con la información del usuario. Así como fallas documentadas de seguridad cibernética», dice Holtzman. Algunos estudios recientes muestran que hasta el 70 por ciento de alguna aplicación de fitness móvil carecen de una política de privacidad, señala.

Fuente: bankinfosecurity.com

Recomendaciones similares: