Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Fallos privacidad en Fitness Polar Flow publica la ubicación de sus usuarios desde 2014




De nuevo una aplicación (app) de Fitness muestra un mapa público del recorrido de sus usuarios. Si primero fue en Enero, Strava, ahora se ha hecho público que la app Polar Flow hace exactamente lo mismo, pero es aún peor, ya que otros sitios de acondicionamiento físico, como Strava, brindan la opción de evitar automáticamente que se publique su hogar o lugar de trabajo. Polar no lo hace. Además cambiar la privacidad de las sesiones, solo afecta a las sesiones nuevas. Las sesiones anteriores siguen permaneciendo visibles. Polar ha prometido agregar un botón en julio que le permitirá cambiar su historial de entrenamiento completo a privado.





  •  La 'app' de 'fitness' de la compañía finlandesa Polar, llamada Polar Flow dejó al descubierto identidades y ubicación de personal militar y espías  Polar Flow te permite analizar la actividad deportiva y el estado físico y se utiliza con pulsómetros con GPS, dispositivos de fitness y de seguimiento de actividad de Polar
  • La compañía ha suspendido temporalmente el mapa de actividades globales (Explore) de su servicio para evitar la difusión de "ubicaciones potencialmente sensibles".  
  • La mayoría de las ocasiones los usuarios no se preocupan de mantener sus perfiles privados, por lo que los datos se comparten automáticamente. Recomendamos revisar las opciones de configuración de privacidad por defecto de las aplicaciones parecidas a Strava y Polar Flow como Endomondo, Runkeeper, Runtastic

Una investigación conjunta realizada por el portal Bellingcat y la plataforma de periodismo holandés De Correspondent ha revelado que los datos personales de 6.460 usuarios de la aplicación de 'fitness' Polar eran de dominio público, al igual que más de 200 ubicaciones sensibles, como bases militares e instalaciones nucleares.

De Correspondent alertó hace dos semanas al Ministerio de Defensa holandés sobre este problema, y este ha decidido tomar medidas para evitar estos problemas en el futuro, y ha prometido elaborar un plan para prohibir el uso de estas aplicaciones en los móviles de militares.

El ministerio ya ha inhabilitado físicamente el uso de estas aplicaciones en los teléfonos que brinda a sus empleados. Desde entonces, todo el personal ha sido "informado sobre los peligros" del uso de aplicaciones deportivas y de acondicionamiento físico y "dispositivos portátiles asociados".

Al analizar el mapa de actividades globales, disponible para cualquier usuario, los investigadores lograron encontrar sin dificultad los datos sobre las actividades físicas de los usuarios registrados en la aplicación desde 2014.

Alrededor del 90 % de los 6.460 usuarios analizados incluían en sus perfiles sus nombres, enlaces a sus perfiles en redes sociales o su lugar de residencia, una información que facilita localizar su dirección actual.

Entre los usuarios de la 'app' se detectaron empleados de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y del FBI, así como del Servicio de Inteligencia Militar holandesa (MIVD) y del Departamento Central de Inteligencia rusa (GRU). El cruce de los datos reveló los nombres y las direcciones del personal de varias agencias de inteligencia, incluidas la NSA, los Servicios Secretos de los EE. UU. y el MI6.

 Algunos de los hallazgos de los periodistas del medio holadnés, De Correspondent inlcuyen;

  • Base de la fuerza aérea de Volkel en los Países Bajos 
  • Bases militares en Gao (Mali)
  • Bahía de Guantánamo en Cuba
  • Kamp Holterhoek
  •  MIVD, la agencia de inteligencia militar holandesa
  • bases militares en Francia donde se almacenan armas nucleares;
  •  La sede de la OTAN en Bruselas;
  • el DGSE
  • agencia de inteligencia en París;
  • otras varias bases, incluyendo pistas de aterrizaje con aviones no tripulados, en Afganistán, Chad, Cuba, Djibouti, Alemania, Iraq (incluida la Zona Verde fuertemente fortificada) en Bagdad), Italia, Malí, Níger, Pakistán, Arabia Saudita, Seychelles, Turquía y los Emiratos Árabes Unidos.
En otras aplicaciones como Strava, el mapa de calor con datos confidenciales ya no es público; pero puedes registrar un usuario y estar conectado para verlo. Sólo lleva un minuto crear una cuenta y obtener acceso a esa información.

También descubrimos algo nuevo que no era parte de la protesta original: es decir, Strava hace posible identificar no solo bases militares y otros sitios sensibles, sino también personas y sus direcciones. Pronto identificaron:

  • un inspector general en el ejército de los Estados Unidos que corre alrededor de la bahía de Guantánamo;
  • varios soldados estadounidenses en el Aeropuerto Internacional Erbil en el norte de Iraq;
  • varios soldados franceses en una base militar en Gao, Mali;
  • y un analista estadounidense que trabaja en Fort Meade en Maryland, donde también se encuentra la NSA.

En resumen: Strava no ha resuelto sus problemas.

El problema de los permisos por defecto: Privacidad nula


La política de privacidad por defecto de Polar se actualizó en agosto de 2017, y ahora las cuentas nuevas tienen su configuración predeterminada establecida en las opciones más privadas disponibles, lo que significa que los usuarios deben habilitar su suscripción para compartir.






En un comunicado emitido el pasado viernes 6 de julio, la compañía de tecnología deportiva anunció la suspensión temporal de la función Explore, el mapa de actividades globales de su aplicación Polar Flow, por la aparición en dominio público de "ubicaciones potencialmente sensibles".

Al mismo tiempo, desde la empresa subrayaron que no se ha producido una filtración, ni tampoco una brecha de privacidad, y aseguraron que la gran mayoría de sus clientes tienen perfiles privados predeterminados, con sesiones privadas, y no se han visto afectados.

"Mientras la decisión de incluir y compartir las sesiones de entrenamiento y datos de localización GPS es elección y responsabilidad del cliente, somos conscientes de que ubicaciones potencialmente sensibles están apareciendo en dominio público y hemos tomado la decisión de suspender temporalmente el Explore API", señalaron en Polar.



Fuentes-Traducciones:
https://actualidad.rt.com/actualidad/280565-aplicacion-fitness-polar-datos-sensibles-usuarios

Fuentes originales:
https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/
https://decorrespondent.nl/8480/this-fitness-app-lets-anyone-find-names-and-addresses-for-thousands-of-soldiers-and-secret-agents/260810880-cc840165

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.