Un investigador de ciberseguridad ha revelado que la cadena británica de gimnasios Total Fitness no cumplió con sus responsabilidades de protección, al no asegurar adecuadamente su base de datos, que contenía información personal de sus socios, como documentos de identidad, información bancaria y de tarjetas de crédito, así como números de teléfono y registros de inmigración, además de imágenes de hombres, mujeres y niños.
Jeremiah Fowler informó a The Register que más de 474.000 imágenes de socios y empleados habían sido vulnerados. Entre las imágenes había fotos de hombres, mujeres y niños almacenadas en la base de datos desprotegida y accesible al público sin necesidad de contraseña.
Fowler, quien también alertó a vpnMentor, señaló que la base de datos tenía un tamaño total de 47,7 GB. Esta contenía imágenes que revelaban documentos de identidad, información bancaria y de tarjetas de crédito, así como números de teléfono y registros de inmigración en algunos casos raros.
“Esto plantea serias preocupaciones sobre la privacidad y el manejo de datos por parte de las empresas“ afirmó Fowler. “Muchas personas valoran su privacidad en Internet y no comparten imágenes personales públicamente. Sin embargo, las imágenes almacenadas por Total Fitness podrían mantenerse incluso después de haber sido eliminadas por los usuarios.“
La base de datos, ahora asegurada, contenía varias imágenes, incluidas fotografías de los rostros de los socios, que fueron subidas por ellos durante el proceso de inscripción en línea o por el personal al registrarlos en persona.
Total Fitness afirmó que las imágenes de los socios constituían solo un «subconjunto» del total de archivos, mientras que otras fotos incluían imágenes de mercancía y comerciales. La cadena de gimnasios subrayó que solo un número muy reducido de estas imágenes contenía información personal identificable (IPI).
No obstante, Fowler discrepó, afirmando que la base de datos contenía casi exclusivamente imágenes de socios, aproximadamente el 97%, y no solo un “subconjunto“ como alegó Total Fitness.
Total Fitness declaró a The Register que las imágenes se recopilaron y almacenaron con «fines comerciales legítimos» para evitar el uso indebido de las membresías y para identificar a los socios en las instalaciones si fuera necesario.
La empresa, que cuenta con 15 gimnasios en el norte de Inglaterra y Gales y atiende a más de 100.000 socios y 600 empleados, se pondrá en contacto con los afectados.
Inicialmente, la empresa no indicó si notificaría a aquellos cuyas imágenes fueron expuestas, pero The Register solicitó aclaraciones al respecto.
“Una investigación inicial no encontró datos que pudieran identificar a una persona por sí solos, aparte de una foto del abonado,“ explicó un portavoz de la empresa. “Sin embargo, realizamos un examen más exhaustivo que identificó un pequeño subconjunto de 114 imágenes que incluían información identificable. Inmediatamente desactivamos esta carpeta y eliminamos las imágenes.“
El portavoz también informó que la Oficina del Comisionado de Información del Reino Unido (ICO) fue notificada y que Total Fitness cooperará con cualquier investigación que pueda surgir.
“Hemos priorizado garantizar que las imágenes de los abonados no se combinen con otros datos identificables y dejaremos esto más claro en nuestra comunicación a los nuevos asociados,“ añadió el portavoz.
Según los registros de Total Fitness, no hay pruebas de que terceros no autorizados, aparte de Fowler, hayan accedido a los archivos. Se desconoce cuánto tiempo estuvo desprotegida la base de datos, pero el investigador detectó archivos que parecían haber sido cargados en marzo de 2021.
Es probable que algunos clientes se sientan molestos por esta violación de su privacidad, especialmente al considerar que se almacenaban imágenes de niños sin protección.
Fowler enfatizó la gravedad del asunto mencionando el creciente problema de la IA y la tecnología deepfake. Las imágenes podrían usarse en búsquedas inversas en línea para revelar identidades reales, exponiendo a las personas a diversos tipos de ciberdelincuencia.
Por ejemplo, las imágenes falsas se utilizan en estafas de extorsión sexual, y el FBI emitió una alerta sobre este tema el año pasado. En abril de 2024, la Agencia Nacional contra el Crimen del Reino Unido (NCA) también emitió advertencias similares.
Las imágenes podrían ser utilizadas en perfiles falsos de redes sociales o aplicaciones de citas para llevar a cabo estafas románticas.
En un caso investigado por Fowler, una búsqueda inversa de imágenes llevó a la identificación de un miembro de Total Fitness como creador de contenido en OnlyFans. Este tipo de imágenes podrían utilizarse para realizar estafas financieras a sus seguidores.
“Esto es algo personal para mí,“ afirmó Fowler. “Recientemente, recibí mensajes de personas informándome que mis datos y fotos se estaban utilizando en intentos de estafa romántica. Sé de primera mano lo perturbador que puede ser saber que alguien está usando tu identidad e imágenes para perjudicar a otros. La concienciación es un primer paso crucial para proteger las identidades digitales en línea.“
Fuente: The register
Acceso al artículo
