Ya se ha hablado largo y tendido sobre el problema de canalizar demasiada información de tu vida privada a través de las redes sociales. Casos sonados son los de Please Rob Me, el sitio que informaba de la gente que estaba fuera de su casa porque hacía Check-in en puntos de FourSquare , o el de personas publicando sus tarjetas de crédito o documentos oficiales como pasaportes o DNI. De todos ellos ya hemos visto muchos vídeos alertando de las posibilidades, como el del gurú que leía la mente a la gente en la calle, a partir de lo que iban publicando en las redes sociales.
| Figura 1: El sitio Please Rob Me avisaba de gente que abandonaba sus casas |
Ya se supone que todos debemos estar alertados, pero aún así, algunos no han entendido el problema y hoy os quiero hablar de una red social que estos últimos días me ha preocupado. La red social para deportistas Endomondo. Por esas cosas del destino, no hace mucho tiempo acabé sacándome una cuenta en ella para ir controlando con el ritmo cardiaco en los trayectos que hago en bicicleta.
No es que sea un gran deportista, pero desde que he cumplido los 32 años he pensado que era buena idea sacar algo de tiempo en los cero huecos que me deja la agenda para mover los pedales de una Mountain Bike . Me bajé la versión de la app , me registré con un correo electrónico de esos que uso para esas cosas que tengo protegido con un 2FA , y listo.
Días después entré en la versión web y vi que uno de mis recorridos estaba en la web indexado en Google y pensé... WTF? La red social Endomondo , por defecto, deja públicos muchos de los datos de la red social, y basta con ver que hay cerca de 26.000.000 de URLs indexadas en Google , todas ellas abiertas al público en la red social.
No es que sea un gran deportista, pero desde que he cumplido los 32 años he pensado que era buena idea sacar algo de tiempo en los cero huecos que me deja la agenda para mover los pedales de una Mountain Bike . Me bajé la versión de la app , me registré con un correo electrónico de esos que uso para esas cosas que tengo protegido con un 2FA , y listo.
| Figura 2: Una ruta de práctica guardada en Endomondo e indexada en Google |
Días después entré en la versión web y vi que uno de mis recorridos estaba en la web indexado en Google y pensé... WTF? La red social Endomondo , por defecto, deja públicos muchos de los datos de la red social, y basta con ver que hay cerca de 26.000.000 de URLs indexadas en Google , todas ellas abiertas al público en la red social.
| Figura 3: 26.200.000 URLs públicas localizadas por Google |
Aunque vía Google, solo se podría sacar 87.000 URLs que están en el índice principal de Google para hacer Hacking con Buscadores.
| Figura 4: 87.900 URLs de Endomondo en el índice primario |
Todas las URLs están publicadas para su indexación, ya que el fichero de configuración de Robots.txt de Endomondo no protege los perfiles, ni las rutas de prácticas, ni el historial de acciones, ni mucha información personal.
| Figura 5: Fichero Robots.txt de Endomondo |
Toda esa información está expuesta en Internet , y debes entrar en las opciones de privacidad para restringir que Solo tú o Solo tus amigos , puedan ver los datos de tu cuenta, pero como podréis ver, hay una infinidad de perfiles abiertos. En ellos se puede acceder a las rutas de entrenamiento de gente que sale a hacer deporte, junto la ruta por donde lo hace, el tiempo que ha estado fuera, la hora a la que comienza las rutas, etcétera, etcétera.
Con esa información, como muchos de los deportistas suelen tener rutinas, se está dando información sobre la vida personal - como dónde comienza las rutas que generalmente será en su casa -, por donde suele circular, y a qué horas hace esto. Mucho más peligroso que el famoso Crep.py que sacaba rutas desde Twitter o Flickr.
Con esa información, como muchos de los deportistas suelen tener rutinas, se está dando información sobre la vida personal - como dónde comienza las rutas que generalmente será en su casa -, por donde suele circular, y a qué horas hace esto. Mucho más peligroso que el famoso Crep.py que sacaba rutas desde Twitter o Flickr.
| Figura 6: Historial de prácticas de una persona en Mayo de 2013 |
Todo queda registrado en un historial de prácticas que puedes inspeccionar, además de que, como está indexado en Google puedes localizar a gusto. Buscando por nombres de ciudades, o lugares. Una vez en los resultados, se pueden visitar los perfiles uno a uno y localizar a las personas.
¿Tu salud en la web?
Pero no solo eso, si la persona usa un pulsómetro , la información de los latidos queda registrada y publicada, lo que podría ser un problema si alguien decide consultar el estado de salud de alguien para, no sé, un crédito, un plan de pensiones, un seguro médico, etcétera. Son datos que en manos de profesionales pueden ser muy significativos.
¿Tu salud en la web?
Pero no solo eso, si la persona usa un pulsómetro , la información de los latidos queda registrada y publicada, lo que podría ser un problema si alguien decide consultar el estado de salud de alguien para, no sé, un crédito, un plan de pensiones, un seguro médico, etcétera. Son datos que en manos de profesionales pueden ser muy significativos.
| Figura 7: Datos médicos de un pulsómetro |
Yo creo que si tienes una cuenta en Endomondo , tal vez le interese a tus amigos conocer estas cosas porque puede ser divertido, pero dejarlo abierto a todo el mundo en Internet creo que es un error garrafal y una exposición impúdica e innecesaria que puede jugarte una mala pasada algun día. Haz deporte sí, pero con cabeza.
Saludos Malignos!
via Un informático en el lado del mal http://ift.tt/1oy9XOp
No hay comentarios:
Publicar un comentario