Com Superbowl domingo se aproxima, o interesse no combate ritualizado que é o futebol americano é um pico para o ano - mas os fãs da ação pode estar deixando hackers sorver os seus dados pessoais.
Uma análise do app telefone National Football League por biz internet móvel Wandera mostrou que quem escreveu o software não ligava muito para privacidade nem segurança. Quando os usuários assinar para o app, ele coloca o nome de usuário e senha para fora através da internet em uma chamada de API não criptografada, e esconde-los em um cookie sem criptografia separado no computador de mão.
Um atacante capaz de interceptar esta informação pode usá-lo para acessar a conta pessoal da vítima no site da NFL.com, que também é servido através da 'net sem criptografia. Isto irá revelar o nome do usuário, e-mail, endereço físico, data de nascimento, número de telefone, ocupação, e submetidos contas de redes sociais.
"É irônico que, assim como um quarterback ser vulnerável a uma intercepção, a NFL app é vulnerável a um man-in-the-middle ataque que coloca os dados dos usuários em risco de interceptação por hackers", disse Eldar Tuvey, CEO da Wandera .
"23 por cento dos nossos clientes norte-americanos têm pelo menos um funcionário usando o app, e esperamos que isso aumente significativamente como as grandes abordagens de jogo."
Enquanto o software NFL Mobile pode recolher números de cartões de crédito, os pesquisadores Wandera não tentou acessar esses dados por medo de cair em desgraça com a lei. Outro software produzido pelo corpo de futebol, incluindo NFL Now e NFL Football Fantasy, também podem ser vulneráveis, mas até mesmo os dados vazados pelo app móvel é irritante o suficiente.
"Uma percentagem muito elevada de usuários reutilizar senhas em várias contas, de modo que a combinação de e-mail / senha para NFL Móvel também podem ser os mesmos que os usados para acessar dados confidenciais de empresas, sites de bancos ou outros alvos de alto valor", disse Turvey.
"Além disso, nome, endereço e número de telefone são data-de-nascimento, os blocos de construção exatos necessários para iniciar um roubo de identidade sucesso dos fãs da NFL."
Um porta-voz da NFL reconheceu a falha e disse que a organização estava trabalhando em dar-nos um comunicado. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário