Una base de datos con millones de puntos de datos sobre juegos jugados junto con información confidencial se dejó expuesta a simple vista en el Internet para que todos la vean.
Encontrar bases de datos en la nube con información confidencial quedando abierta al Internet se ha convertido en algo común en estos días, justo como lo demuestra una nueva exposición de millones de puntos de datos confidenciales de los usuarios de una popular aplicación de golf.
La aplicación tiene más de 50,000 instalaciones en Google Play.
Millones de registros de jugadores de golf de la aplicación Game Golf, incluidos los detalles de GPS de los campos jugados, los nombres de usuario y las contraseñas, e incluso los datos de inicio de sesión de Facebook, fueron expuestos para que cualquier usuario con un navegador de Internet pueda ver, para construir perfiles para víctimas potenciales, o para ser utilizados en ataques posteriores de ingeniería social.
El investigador de securidad, Bob Diachenko, recientemente se topó con una base de datos en Elastic que no estaba protegida por contraseña y, por lo tanto, visible desde cualquier navegador. Una inspección más detallada mostró que pertenece a Game Golf, que es una familia de aplicaciones desarrolladas por Game Your Game Inc. con sede en San Francisco.
Game Golf se presenta como una aplicación gratuita, como una versión Pro de pago con herramientas de entrenamiento y también incluye un wearable. Es un analizador sencillo para aquellos a los que les gusta acceder a los enlaces: seguimiento de los cursos jugados, datos de GPS para tomas específicas, varias estadísticas de jugadores, etc. Además, hay una función comunitaria y de mensajería, y una función opcional de «caddie».
Desafortunadamente, Game Golf llevó a sus usuarios a una trampa de arena de problemas de privacidad al no proteger la base de datos: el investigador de seguridad senior de Security Discovery, Jeremiah Fowler, dijo que la base de datos incluía toda la información antes mencionada, además de datos de perfiles como nombres de usuario y contraseñas con hash, correos electrónicos, género, y las identificaciones de Facebook y tokens de autorización.
En total, la exposición consistió en millones de registros, que incluyen detalles sobre «134 millones de rondas de golf, 4,9 millones de notificaciones de usuarios y 19,2 millones de registros en una carpeta llamada ‘activity feed‘», dijo Fowler.