Det danska företaget TrackMan, som utvecklar teknologi för att förbättra prestationer inom bland annat golf, har drabbats av en omfattande dataläcka. Enligt cybersäkerhetsforskaren Jeremiah Fowler upptäcktes och rapporterades en oåtkomligt skyddad databas som innehöll över 31 miljoner poster, motsvarande 110 TB data. Informationen omfattade bland annat användarnamn, e-postadresser, enhetsspecifik data, IP-adresser, säkerhetstokens samt WiFi- och hårdvaruinformation.
»Bland de mest oroande filerna jag såg var de som innehöll Wi-Fi och maskinvaruinformation. Precis som de potentiella riskerna med att exponera GUID, kan Wi-Fi-drivrutinen och konfigurationsinformationen utnyttjas och skapa allvarliga potentiella säkerhetsrisker för användarna. Om en cyberbrottsling kan identifiera kända sårbarheter som är specifika för den individuella trådlösa adaptern, kan det tillåta dem att på distans få obehörig åtkomst till enheten eller Wi-Fi-nätverket«, skriver Fowler.
TrackMan erbjuder produkter som inomhusgolfsimulatorer, mätutrustning och programvara för svinganalys. Deras system använder Doppler-radar och bildteknologi för att noggrant mäta och analysera exempelvis bollflykt och spelarrörelser.
Den läckta informationen innefattar även detaljerade analyser från TrackMans Performance Studio, vilket tyder på att både professionella och amatöridrottare kan ha påverkats. TrackMans produkter är högt prissatta – exempelvis kostar deras icke-kommersiella system över 21 000 dollar med en årlig programvaruavgift på cirka 1 100 dollar. Det gör, menar experter, att användare kan utgöra attraktiva mål för cyberbrottslingar.
Fowler, som publicerade sina fynd via Website Planet, konstaterar att databasen inte var lösenordsskyddad eller krypterad, vilket ökade risken för obehörig åtkomst. Han kunde dock inte fastställa hur länge databasen varit exponerad eller om andra än han själv upptäckt den. Trots att han skickade en rapport till TrackMan har han inte fått något svar från företaget.
De potentiella säkerhetsriskerna är betydande. Utöver de personuppgifter som exponerades kan information om WiFi-konfiguration och enhetens Globally Unique Identifier (GUID) användas av cyberbrottslingar för att utföra nätverksundersökningar och identifiera sårbarheter. Om en sådan sårbarhet hittas kan brottslingar utnyttja den för att ta sig in i användarnas enheter eller nätverk.
Den exponerade datan skulle kunna möjliggöra angrepp där särskilt professionella idrottare kan vara attraktiva mål. Forskaren poängterar att detta är hypotetiska scenarion och att det inte finns några bevis för att någon sådan attack har inträffat.
Han skriver:
»Det är inte känt hur länge databasen var offentligt tillgänglig, då endast en intern forensisk utredning utförd av TrackMan eller den part som hanterade databasen skulle kunna identifiera denna information samt eventuell misstänkt aktivitet relaterad till intrånget. Jag genomför inga andra aktiviteter än att identifiera säkerhetsbristen och underrätta de berörda parterna, och jag frånsäger mig allt ansvar för eventuella åtgärder som kan vidtas till följd av denna avslöjning. Jag publicerar mina upptäckter för att öka medvetenheten om frågor kring datasäkerhet och integritet.«
TrackMan har säkrat åtkomsten till databasen efter upptäckten, men varken företaget eller eventuella underleverantörer har ännu kommenterat incidenten. En fullständig utredning, inklusive en forensisk granskning, krävs för att avgöra om ytterligare intrång har skett.•
