La cadena de gimnasios Total Fitness, con sede en el Reino Unido, ha sido acusada de seguridad descuidada, tras el descubrimiento de una base de datos no segura que contiene imágenes de 470.000 miembros y personal, todas ellas accesibles a cualquier persona en Internet, sin necesidad de contraseña. Una base de datos de 47,7 GB perteneciente a la empresa de salud club fue descubierto por el investigador de ciberseguridad Jeremiah Fowler, quien dijo a The Register que también había descubierto imágenes de los documentos de identidad de los miembros, datos bancarios y de tarjetas de pago, números de teléfono e incluso, en algunos casos, registros de inmigración. Según el investigador, las prácticas laxas en Total Fitness significó que había que plantearse preguntas serias sobre cómo la empresa había recopilado imágenes de los clientes, cómo se almacenaban, quién tenía acceso a las imágenes y durante cuánto tiempo se conservaban». Casi todas las cuentas de redes sociales ofrecen a los usuarios la posibilidad de tener un perfil privado y tienen un control estricto sobre quién puede acceder a su contenido. Sin embargo, este no parece ser el caso de las imágenes cargadas por miembros en las plataformas Total Fitness», dijo Fowler. «Es hipotéticamente posible que las imágenes almacenadas en la base de datos backend se conserven incluso después de que el miembro las elimine. Esto explicaría potencialmente por qué la base de datos contenía imágenes de documentos confidenciales». Según Fowler, las imágenes altamente confidenciales de pasaportes y facturas de servicios públicos quedaron expuestos en la base de datos no segura. Total Fitness ha cuestionado el alcance de la violación de datos, afirmando que las imágenes de los miembros solo comprendían un «subconjunto» de la base de datos y que la mayoría de las imágenes no contenían información de identificación personal. Por su parte, Fowler afirma que las imágenes de los miembros ocupaban aproximadamente el 97% de la base de datos. Independientemente de si Total Fitness o el investigador de seguridad son precisos en su descripción de la infracción, no estaría feliz si fuera una imagen mía o de mi hijo la que tuviera. subido creyendo que se almacenaría de forma segura y luego había sido expuesto. Total Fitness dice que ahora ha asegurado la base de datos, y la violación ha sido reportada al regulador de datos del Reino Unido, la Oficina del Comisionado de Información (ICO), para su investigación. Mientras que Total Fitness afirma No hay evidencia de acceso no autorizado a la base de datos aparte de Fowler, está claro que el potencial de abuso definitivamente estaba presente. Las imágenes expuestas podrían usarse para una serie de actividades delictivas, incluido el robo de identidad, estafas románticas o incluso la creación de deepfakes. Las organizaciones que deseen evitar infracciones similares harían bien en seguir las mejores prácticas, incluida la implementación de fuertes controles de acceso, minimización de datos, cifrado de datos y auditorías de seguridad periódicas.