Polar suspende su servicio de mapas tras filtrarse ubicaciones de bases militares
La compañía finlandesa de fitness Polar ha suspendido temporalmente Explore, su servicio de mapas de actividad global después de que se publicaran un par de informes señalando fallos en la configuración de la privacidad que facilitaban el acceso a los datos de ubicación de los usuarios.
La gran cantidad de servicios activos a través de Internet ha terminado por hacer relativamente frecuentes este tipo de incidentes, y el caso que nos ocupa es bastante preocupante, ya que ha terminado por revelar nombres y direcciones de personas que estarían trabajando para instituciones críticas para la seguridad de los países como el ejército y los servicios de inteligencia.
Polar fabrica una gran variedad de dispositivos relacionados con el fitness, entre ellos relojes inteligentes destinados a medir cosas relacionadas con la actividad física, y que funcionan con su propia aplicación de fitness: Polar Flow. Los dispositivos de la compañía trabajan juntos para registrar cosas como la actividad y el peso, que pueden ser mostrados a través de un perfil online del usuario. Los usuarios pueden incluir su información en Explore, aunque también pueden elegir tener un perfil privado que tendría que impedir la compartición de datos con aplicaciones de terceros como Facebook.
Sin embargo, en la investigación llevada a cabo se ha encontrado que se puede usar datos del servicio de mapas de Polar para hallar sitios sensibles como los pertenecientes al ejército, así como obtener información suficiente como para determinar el nombre del usuario y su dirección postal. De hecho, se ha podido trazar la ubicación de personas que están luchando contra DAESH en Irak. Los números son para estar preocupados, ya que el servicio Explore de Polar realiza un seguimiento de la actividad de todos los usuarios desde 2014, y usando la información recopilada, se pudieron localizar a 6.460 con nombres propios que lo utilizaron cerca de instalaciones, mientras que las direcciones postales se obtuvieron mediante referencias cruzadas. Viendo esto, se podría pensar en un descuido por parte de los usuarios, y hasta cierto punto esto podría ser cierto, pero también se ha hallado un fallo que permite acceder a la información de cualquier perfil que haya sido marcado como privado, algo a lo que suma que la API no pone ningún límite al número de solicitudes, permitiendo que toda persona con los conocimientos necesarios pueda conseguir el historial completo de un usuario.
Tras destaparse todo el escándalo, Polar publicó el viernes de la semana pasada una declaración pidiendo disculpas por lo ocurrido, algo a lo que se sumó la suspensión de la característica Explore en la aplicación Flow. Para defenderse explicó que no hubo una violación de los datos privados y que están “analizando las mejores opciones que permitan a los clientes de Polar continuar utilizando la función Explore mientras” toman “medidas adicionales para recordarles a los clientes que eviten compartir públicamente los archivos de GPS o ubicaciones sensibles.”
Como vemos, estamos aparentemente ante dos problemas. Uno, el de los usuarios que parecen haber descuidado la privacidad sabiendo que trabajan para instituciones que tienen que actuar con la máxima discreción. Segundo, el fallo de privacidad dentro del propio servicio que ha dejado desprotegidas a estas personas.
No es la primera vez que cubrimos algo parecido este año, ya que en enero se destapó que mediante Strava se podía determinar la ubicación de soldados destinados a zonas de combate. El escándalo fue lo suficientemente grande como para obligar al Pentágono a tomar medidas.
Fuente: The Verge
Via: www.muyseguridad.net