Se espera que las organizaciones y redes populares, incluida CBS, debido al gran tamaño de su empresa, adopten las mejores prácticas cuando se trata específicamente de seguridad. O tal vez solo esperamos demasiado de ellos, porque recientemente los usuarios de la aplicación de deportes de CBS se desilusionaron cuando se enteraron de que sus datos personales se transmitieron sin cifrado.
Es una verdad alarmante a la que se tienen que enfrentar millones de usuarios, a pesar de lo que parece ser una negligencia por parte de las empresas sin importar la urgencia del tema. Los investigadores de seguridad de Wandera, que examinaron aplicaciones deportivas en febrero, fueron los primeros en descubrir el cifrado deficiente en la aplicación CBS.
Afortunadamente, CBS solucionó rápidamente la vulnerabilidad en su aplicación Sports, evitando lo que podría ser una oportunidad para los atacantes intermediarios y un caso masivo de violación de datos. Wandera reveló que la aplicación CBS Sports enviaría nombres de usuario, direcciones de correo electrónico, contraseñas de cuentas, fechas de nacimiento y códigos postales a través de una conexión no cifrada a su servidor cuando una persona se registra en la aplicación. Eso significa que esas piezas de información confidencial se transmiten en texto claro.
La vulnerabilidad fue detectada por casualidad cuando los investigadores de seguridad de Wandera observaron un aumento exponencial en el tráfico a través de la aplicación CBS Sports. Fue entonces cuando descubrieron que había un cifrado deficiente, no solo para la versión de Android de la aplicación, que normalmente es el objetivo de ataques cibernéticos masivos, sino también para la versión de iOS, que se considera más segura que las plataformas Android.
Los atacantes probablemente han estado esperando el momento adecuado para lanzar los ataques porque el error se descubrió en un momento en que el torneo de baloncesto de la NCAA se estaba calentando. Usando la aplicación CBS Sports, los fanáticos del baloncesto podrán monitorear los puntajes de sus equipos favoritos. Es alarmante que más de 10 millones de usuarios de Android hayan descargado la aplicación hasta ahora, aunque no está claro cuántos usuarios de iOS han instalado la aplicación.
Pero es difícil excusar a CBS por no cifrar la información de los usuarios en un momento en el que el cifrado es de suma importancia. Es más alarmante porque las direcciones de correo electrónico y las contraseñas se enviaron a los servidores de la empresa en texto sin formato. Fue solo después de que Wandera descubrió la falla que CBS tomó la tarea de adoptar el protocolo HTTPS.
El problema con la mayoría de las empresas es que están más preocupadas por llegar al mercado que por incorporar primero la seguridad en sus productos a nivel de producción.
