Las vulnerabilidades en los jacuzzis conectados a Internet expusieron la información personal de los propietarios - TechCrunch

Un investigador de seguridad encontró vulnerabilidades en la interfaz SmartTub de Jacuzzi que permitían el acceso a la información personal de cada propietario de un spa.

Al igual que con la mayoría de los sistemas de Internet de las cosas (IoT), la función SmartTub de Jacuzzi permite a los usuarios conectarse de forma remota a su bañera de hidromasaje a través de una aplicación complementaria de Android o iPhone. Comercializado como un "asistente personal de jacuzzi", los usuarios pueden usar la aplicación para controlar la temperatura del agua, encender y apagar los chorros y cambiar las luces.

Pero como lo documentó el pirata informático Eaton Zveare, los atacantes también podrían abusar de esta funcionalidad para acceder a la información personal de los propietarios de jacuzzis en todo el mundo, incluidos sus nombres y direcciones de correo electrónico. No está claro cuántos usuarios pueden verse afectados, pero la aplicación SmartTub se ha descargado más de 10 000 veces desde Google Play.

Eaton notó por primera vez un problema al intentar iniciar sesión a través de la interfaz web de SmartTub, que utiliza el proveedor de identidad de terceros Auth0, y descubrió que la página de inicio de sesión devolvía un error "no autorizado". Pero por un breve momento, Zveare vio el panel de administración completo con datos de usuario parpadeando en su pantalla.

“Parpadea y te lo perderías. Tuve que usar una grabadora de pantalla para grabarlo", dijo Zveare. "Me sorprendió descubrir que era un panel de administración lleno de datos de usuario. Si observa los datos, hay información para varias marcas, y no solo de los EE. UU.”. Esas marcas incluyen otras bajo varias marcas de jacuzzi, incluidas Sundance Spa, D1 Spas y ThermoSpas.

Eaton luego intentó eludir las restricciones y obtener acceso completo. Usó una herramienta llamada Fiddler para interceptar y modificar el código que le decía al sitio web que él era un administrador y no un usuario habitual. La omisión fue exitosa, lo que permitió a Zveare acceder completamente al panel de administración.

“Una vez que estaba en el panel de administración, la cantidad de datos a los que tenía acceso era asombrosa. Pude ver los detalles de cada balneario, ver a su dueño e incluso sacar sus pertenencias”, dijo. “Sería trivial crear un script para descargar toda la información del usuario. Es posible que ya se haya hecho”.

Las cosas empeoraron aún más cuando Zveare, mientras revisaba el código fuente de la aplicación de Android, descubrió un segundo panel de administración que le permitía ver y cambiar los números de serie del producto, ver una lista de distribuidores autorizados de Whirlpool y ver los registros de fabricación.

Zveare se puso en contacto con Jacuzzi para informarles sobre las vulnerabilidades y comenzó una notificación inicial solo unas horas después de que se descubrieran las vulnerabilidades el 3 de diciembre. Tres días después, Zveare recibió una respuesta solicitando más detalles. Pero después de un mes sin más comunicación, Zveare solicitó la ayuda de Auth0, que cerró el panel de administración vulnerable de SmartTub. El segundo panel de administración finalmente se arregló el 4 de junio, aunque Jacuzzi no dio una confirmación formal de que habían abordado los problemas.

"Después de varios intentos de contacto a través de tres direcciones de correo electrónico diferentes de Jacuzzi/SmartTub y Twitter, no se estableció ningún diálogo hasta que intervino Auth0", dijo Zveare. "Incluso entonces, la comunicación con el Jacuzzi/SmartTub finalmente cesó por completo, sin una conclusión o reconocimiento formal de que todos los problemas informados se hayan resuelto".

Como señaló Zveare, Jacuzzi está incorporado en California, que tiene notificación de violación de privacidad y leyes de Internet de las cosas. Este último requiere que los fabricantes de dispositivos conectados incorporen "características de seguridad apropiadas".[s]' en todos los dispositivos vendidos u ofrecidos para la venta en California, particularmente aquellos dispositivos que se conectan directa o indirectamente a Internet.

TechCrunch se acercó a Jacuzzi para hacer comentarios, pero la empresa no respondió.