lunes, 7 de noviembre de 2016

Ojo con tu privacidad cuando haces deporte

Aplicaciones como Runtastic, Strava, Nike+ y similares se han convertido desde hace ya algún tiempo en un compañero indiscutible a la hora de hacer deporte, ya que permiten tener un seguimiento del ejercicio realizado; Rutas GPS, tiempo, distancia recorrida, histórico, mediciones estadísticas, frecuencia cardiaca y un largo etcétera.

Personalmente cuando utilicé algunas de estas aplicaciones por primera vez me hacía siempre la misma pregunta, ¿Por qué requieren de un registro?. Los datos registrados por la aplicación se podrían sincronizar automáticamente con el dispositivo (Android o iPhone por ejemplo) sin necesidad de tener que registrarse en ningún sitio. Sin embargo entiendo que el registro se realizará por otras cuestiones de peso. Aun así cada una de estas aplicaciones guarda la información estadística del usuario, a la cual se puede acceder desde la web oficial de cada una de ellas.

¿Cuántos de nosotros no hemos compartido alguna vez en alguna red social la ruta que hemos realizado, la distancia que corrimos o la cantidad de horas en bici que hicimos? Seguros que todos lo hemos hecho alguna vez o al menos lo hemos visto compartido por otra persona en Facebook.

Todos a día de hoy de una manera u otra estamos más o menos concienciados con la seguridad en internet, pero en este caso se nos escapó por un momento pensar si la información que registran y guardan estas aplicaciones queda expuesta de alguna manera al público dejando al descubierto nuestra privacidad.

Haciendo una búsqueda sencilla en Google se pueden obtener un gran número de perfiles públicos.

site:runtastic.com/es/usuarios

¿Os imagináis salir a correr y que todo el mundo pueda saber qué lugar sueles frecuentar?

Img 1: Ruta de Runtastic. Sin privacidad.

¿Os imagináis que además puedan ver las fotos que publicáis de vuestras sesiones deportivas?

Img 2: Fotos del perfil de usuario de Runtastic expuestas todo el mundo. Sin privacidad.

¿Os imagináis que mostraran un calendario con el tipo de deporte realizado, el día, la fecha, el lugar...?

Img 3: Sesiones deportivas, estadísticas abiertas al público. Sin privacidad.
Img 4: Calendario y seguimiento de la actividad del usuario. Sin privacidad por defecto.

Los amigos también son expuestos, y pueden ser vistos por cualquiera, incluso en algunos casos es posible ver esta información sin necesidad de estar registrado. 

Img 5: Amigos del perfil de usuario en Runstastic. Sin privacidad por defecto.

Muchos de los usuarios que utilizan estas aplicaciones realizan el registro a través de su cuenta de Facebook por lo que sabiendo los amigos de esta persona podremos saber posiblemente su lista de amigos de Facebook. ... -Un trabajo fácil para un ataque de ingeniería social ...

Es difícil creer como compañías tan importantes como estas no pensaron en la privacidad del usuario y su importancia dejando todo el perfil al descubierto.

Img 6: Ajustes por defecto de privacidad de Runtastic.
Aunque los pantallazos que se muestran corresponden a Runtastic probé con otras aplicaciones como Strava y todas ellas publican por defecto todos los datos del usuario.

Ya me imagino una aplicación en python para buscar usuarios en estas redes sociales al estilo de Creepy, Tinfoleak o Maltego.