Por suerte, según ha publicado el medio especializado Techcrunch, el ataque descubierto ahora fue realizado por un investigador que solo intentaba encontrar un posible fallo para que la empresa lo solucionase, pero no se sabe si alguien pudo aprovechar el mismo agujero para hacerse con millones de datos de sus usuarios sin dejar rastro. En concreto este caso lo ha denunciado Jan Masters, un investigador de seguridad de Pen Test Partner, que también se puso en contacto con el medio que lo ha destapado aprovechando el agujero en el sistema, y entre ambas partes consiguieron que Peloton pusiese el parche necesario para solucionarlo. Pero lo cierto es que no es el único caso similar ni afecta solo a Joe Biden, sino que son ataques que están a la orden del día y han generado verdaderas sangrías en sitios como Facebook, LinkedIn o Clubhouse.
Lo hecho por Masters sirve para explicar lo que suponen estos ataques. Este experto descubrió que podía hacer solicitudes sin verificar a la API de Peloton (un método de comunicación con las bases de datos de la plataforma) para pedir los datos de la cuenta del usuario que quisiera sin que el sistema se asegurase de que él pudiera solicitarlo ni el usuario quisiera dárselo. Es decir, Masters podía acceder a los datos personales que tienen los más de 3 millones de suscriptores de la plataforma aunque estos tuviesen cerrados sus perfiles.
Una información que va desde el nombre y apellidos a la lista de amigos, la edad, el sexo, la ciudad, el cumpleaños o el historial de entrenamiento. Algo que acaba transformado en mina de información que a través del 'scraping', del raspado, se puede recopilar, guardar y usar a tu gusto en poco tiempo y sin demasiado trabajo.
Claro, yendo perfil a perfil es imposible hacerse con toda la información disponible, pero en estos casos se usan programas automatizados para hacer peticiones masivas e ir recopilando la información, explotando el agujero del sistema que permite robar la información a borbotones e incluso hacerlo de forma periódica. En muchos casos estos programas se usan con fuentes de información pública y abierta como una forma de recopilar bases de datos ingentes y poder trabajar con ellas de forma más sencilla y práctica, por lo que no tienen por qué ser una herramienta esencialmente ilegal o ilegítima. Pero la diferencia en el caso de Peloton, y otras redes, es que además de manejar información más que sensible, sus sistemas tienen fallos de privacidad y seguridad que ayudan a explotar una base de datos que debería estar más protegida.
El caso de Peloton ha acabado con la compañía corrigiendo el error más de 3 meses después de ser avisado por el investigador y con un gran medio denunciando sus fallos de seguridad internos, pero otros no han tenido tanta suerte. Facebook vio hace unos días como un ataque similar acabó con los datos de 533 millones de usuarios filtrados en la red, Clubhouse vio como las grabaciones de cerca de un millón y medio de usuarios acababan siendo robadas y la lista no para de crecer. Cada vez damos más datos a las plataformas y compartimos información con todo tipo de 'apps', y hay mucha gente interesada en ellos. ->>Vea más...
FUENTE: Con información de G.Cid - El Confidencial
