CBS recientemente ha solucionado una vulnerabilidad en su aplicación Sports que podría haber expuesto a los usuarios a ataques tipo hombre en medio y sin darse cuenta también filtrar datos personales.

Según los investigadores, al finalizar un nuevo registro los nombres de usuarios, direcciones de correo electrónico, contraseñas de cuentas, fechas de nacimiento y códigos postales eran enviados a través de una conexión no cifrada en texto plano a los servidores de la aplicación.

Tanto las versiones de Android y iOS de la aplicación fueron culpables del mal cifrado, según los investigadores de Wandera, una empresa de seguridad de datos móviles con sede en San Francisco que descubrió el problema.

El equipo contra amenazas de la compañía, dirigido por Michael Covington, vicepresidente de Product, estaban monitoreando aplicaciones de deportes el mes pasado detectaron un aumento en el tráfico móvil cuando se encontraron con la vulnerabilidad. El descubrimiento, que Wandera hizo el 18 de marzo, coincidió con cuando los fanáticos del deporte descargaron y usuaron la aplicación durante el torneo de baloncesto de la NCAA March Madness.

El servicio permite a los aficionados realizar un seguimiento de los equipos y las puntuaciones, tanto en la aplicación y en el sitio web de CBS. No está claro exactamente cuántos usuarios han descargado la aplicación para iOS, pero tiene entre cinco y 10 millones descargas en Android de acuerdo con Google Play.

CBSSports.com ya había sufrido de una vulnerabilidad similar en la que falló en cifrar los datos de los usuarios, pero sólo transmitía las direcciones de correo electrónico y contraseñas de los usuarios en texto plano. En otra parte del sitio, en la sección "ID de usuario o contraseña olvidados", donde se pueden restablecer las contraseñas se filtraron las direcciones de correo electrónico de los usuarios.

De acuerdo con Covington, el problema con CBS Sports deriva de una falta de HTTPS.