En cuestión de cibeseguridad cualquier cosa que está conectada a la Red es sujeta de ser atacada. Hasta un jacuzzi.
Un investigador de seguridad llamado Eaton Zveare ha encontrado algunas vulnerabilidades en la interfaz de SmartTub de Jacuzzi que posibilitan a los actores de amenazas acceder a los datos personales de todos los propietarios de bañeras de hidromasaje.
Como otros muchos objetos de Internet de las Cosas, estos spas van vinculados a una aplicación móvil complementaria de Android o iPhone que puede encender y apagar los chorros, variar las luces y hasta variar la temperatura del agua.
A través de este agujero seguridad los cibermalos pueden conseguir el nombre y el correo electrónico de los usuarios, pero también hacer cosas más graves, como calentar el jacuzzi de otra persona o cambiar los ciclos de filtración, según recoge TechCrunch.
Eaton se percató del problema cuando intentó iniciar sesión con la interfaz web de SmartTub, que se sirve del proveedor de identidad de terceros Auth0, y vio como la página de inicio de sesión le devolvía un error no autorizado. Por un breve instante, pudo ver el panel de administración completo repleto de datos de usuario parpadeando en su pantalla.
Al investigador se le ocurrió usar una grabadora de pantalla para poder acceder a esa información y capturarla. Así, descubrió que había información de múltiples marcas y no solo de EE.UU. Se incluían Sundance Spas, D1 Spas y Thermo Spas.
Con una herramienta llamada Fiddler pudo interceptar y modificar el código para hacer creer al sistema que es un administrador en lugar de un usuario común. Le funcionó, así que pudo acceder a panel de administración por completo.
Más de un panel
Pero es no es todo. El experto halló otro segundo panel de administración mientras revisaba el código fuente de la app de Android. Este mostraba una lista de distribuidores autorizaos de bañeras de hidromasaje, los registros de fabricación y cambiar el número de seroe.
Aunque Zveare le trasladó el problema a Jacuzzi la firma se mostró algo tímida en su resolución. Pasó más de un mes sin dilálogo hasta que intervino Auth0. El primer panel de administración fue cerrado y el pasado 4 de junio se arregló el segundo, sin que la compañía reconociera públicamente el agujero.
Se desconoce cuántos usuarios en el mundo podrían verse afectados por esta falla de seguridad, pero aportar algún dato se sabe que la app SmartTub se ha descargado en más de 10.000 ocasiones en Google Play.