Van populaire organisaties en netwerken, waaronder CBS, wordt verwacht dat ze vanwege de enorme omvang van hun bedrijf best practices toepassen als het specifiek om beveiliging gaat. Of misschien verwachten we gewoon te veel van hen, omdat gebruikers van de CBS-sportapp onlangs teleurgesteld waren toen ze hoorden dat hun persoonlijke gegevens zonder encryptie werden verzonden.
Het is een alarmerende waarheid die miljoenen gebruikers onder ogen moeten zien, ondanks wat lijkt op nalatigheid van de kant van bedrijven, hoe urgent de zaak ook is. Beveiligingsonderzoekers van Wandera, die in februari sport-apps onderzochten, ontdekten als eersten slechte versleuteling op de CBS-app.
Gelukkig loste CBS de kwetsbaarheid in zijn Sports-app snel op, waardoor een kans voor man-in-the-middle-aanvallers en een groot datalek werd voorkomen. Wandera onthulde dat de CBS Sports-app gebruikersnamen, e-mailadressen, accountwachtwoorden, geboortedata en postcodes via een niet-versleutelde verbinding naar de server zou sturen wanneer een persoon zich aanmeldt voor de app. Dat betekent dat die stukjes gevoelige informatie in duidelijke tekst worden verzonden.
De kwetsbaarheid werd bij toeval ontdekt toen beveiligingsonderzoekers van Wandera een exponentiële toename van het verkeer via de CBS Sports-app constateerden. Toen ontdekten ze dat er een slechte codering was, niet alleen voor de Android-versie van de app, die normaal het doelwit is van massale cyberaanvallen, maar ook voor de iOS-versie, die als veiliger wordt beschouwd dan Android-platforms.
Aanvallers hebben waarschijnlijk gewacht op het juiste moment om de aanvallen uit te voeren, omdat de bug werd ontdekt op een moment dat het NCAA-basketbaltoernooi op gang kwam. Met behulp van de CBS Sports-app kunnen basketbalfans de scores van hun favoriete teams volgen. Het is zorgwekkend dat tot nu toe meer dan 10 miljoen Android-gebruikers de app hebben gedownload, al is niet duidelijk hoeveel iOS-gebruikers de app hebben geïnstalleerd.
Maar het is moeilijk om CBS te excuseren voor het niet versleutelen van gebruikersinformatie op een moment dat versleuteling van het grootste belang is. Het is nog alarmerender omdat de e-mailadressen en wachtwoorden in platte tekst naar de servers van het bedrijf zijn verzonden. Pas nadat Wandera de fout ontdekte, nam CBS de taak op zich om het HTTPS-protocol over te nemen.
Het probleem met de meeste bedrijven is dat ze meer bezig zijn met het op de markt komen dan dat ze eerst beveiliging in hun producten inbouwen op productieniveau.
