Strava, un service en ligne pour les athlètes, a exposé des informations sensibles sur les responsables militaires et du renseignement en stockant et en divulguant les données d'entraînement de ses clients. Ceci est rapporté par le journal israélien Haaretz, citant le portail FakeReporter. Les cartes avec les itinéraires et les temps de course étaient visibles par tous via des détours.
La vulnérabilité de l'application Strava, découverte par le groupe d'investigation open source israélien FakeReporter, a également révélé un certain nombre d'endroits hautement sensibles en Israël, y compris les emplacements exacts des bases de l'armée et de l'armée de l'air, du quartier général du Mossad et des bases de renseignement militaire.
Avec quelques astuces, il a été possible de trouver des segments de piste dans les installations de l'armée et des services secrets israéliens sur Strava et d'obtenir des données personnelles sur environ 100 personnes. Strava n'avait pas une protection suffisante contre cela. Les utilisateurs ne pouvaient pas empêcher cela même avec les paramètres de confidentialité les plus stricts.
Écart de confidentialité Strava
"La violation de la vie privée de Strava est un excellent exemple de la façon dont les cybercriminels utilisent des applications et une infrastructure apparemment inoffensives pour obtenir des informations sensibles sur d'autres utilisateurs. Le fait que ce ne soit pas la première fois que Strava est critiqué pour un tel bug est d'autant plus surprenant et montre que les entreprises - quelle que soit la notoriété et la popularité de leur plate-forme - ont encore beaucoup de travail à faire. faire pour sécuriser leurs services. Trop souvent, la sécurité et la confidentialité sont une réflexion après coup dans le processus de développement de logiciels », a déclaré Ian McShane, vice-président de la stratégie d'Arctic Wolf.
Appareils IoT et wearables
«Avec la prolifération des appareils IoT et des appareils portables, le risque que des criminels accèdent aux données de particuliers augmente également. Même s'ils supposent que leurs informations sont protégées et que les paramètres de l'appareil ou de l'application indiquent que les informations sont privées. Il est de la responsabilité des entreprises qui développent et vendent ces dispositifs d'améliorer la sécurité. Ils doivent s'assurer que les criminels ne peuvent pas utiliser des astuces simples telles que la manipulation d'une unité de course suivie par GPS pour accéder à des données personnelles, qui pourraient ensuite être utilisées pour des campagnes de phishing ou des activités encore plus douteuses.
Plus sur ArcticWolf.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.