Posté le août 16, 2021 à 15:42

L’APPLICATION DE GESTION DES SALLES DE SPORT WODIFY PRÉSENTE DES VULNÉRABILITÉS NON CORRIGÉES

Une récente étude de cybersécurité a révélé l’existence de vulnérabilités dans l’application de gestion des salles de sport Wodify. L’étude a révélé que l’application permet aux hackers d’accéder aux informations des utilisateurs, telles que leurs données personnelles, leurs données d’entraînement et même leurs données financières.

Faiblesse dans le système de sécurité de l’application

Les faiblesses dans les systèmes des utilisateurs sont devenues une chose courante qui expose les utilisateurs à des vulnérabilités et au vol d’informations. Trois mois avant la révélation de l’affaire Wodify, des faiblesses ont été détectées sur les systèmes Modern AMD.

Google a également été exposé à des vulnérabilités dans ses systèmes. L’entreprise a récemment été critiquée pour ne pas avoir corrigé les vulnérabilités de Windows 10, ce qui a exposé de nombreux utilisateurs mondiaux aux regards indiscrets et au vol d’informations.

L’application web de gestion des salles de sport Wodify est disponible sur les salles de CrossFit aux États-Unis. L’application peut également être utilisée dans d’autres pays. Un rapport de ZDNet indique qu’actuellement, plus de 5000 salles de sport utilisent l’application à des fins telles que la facturation et l’établissement des horaires de cours.

Selon Dardan Prebreza, consultant principal en sécurité chez Bishop Fox, les vulnérabilités présentes dans les systèmes Wodify ont permis aux utilisateurs d’accéder aux données et de modifier les programmes d’entraînement des utilisateurs, perturbant ainsi les routines de ceux qui utilisent Wodify.

Prebreza a également ajouté que l’attaque n’a pas seulement affecté les utilisateurs d’une seule salle de sport. Des hackers ont ainsi pu copier toutes les entrées effectuées sur l’application et les modifier. Prebreza a également noté que des hackers ont pu détourner les sessions des utilisateurs. Ce faisant, ils pouvaient modifier les données des séances d’entraînement et accéder aux identifiants de connexion tels que les mots de passe. Les données des utilisateurs étaient ainsi exposées aux hackers.

Le rapport indique également que les vulnérabilités des systèmes ont eu un effet dévastateur sur la réputation de Wodify. En plus de compromettre les utilisateurs, les hackers pouvaient également exploiter la vulnérabilité pour modifier les données de production et extraire des informations sensibles. Cette exploitation à double sens représentait un risque pour les deux parties de l’équipe.

En outre, la compromission des comptes des utilisateurs de salles de sport a également permis aux hackers de modifier les paramètres de paiement. Il s’agissait là d’une vulnérabilité majeure du système, car les hackers pouvaient modifier les paramètres de paiement pour recevoir les paiements des membres de la salle de sport au lieu que l’argent aille aux propriétaires de la salle.

Les hackers pourraient également avoir accès aux informations, les traiter et modifier les informations d’entraînement. Il pouvait également accéder aux comptes des administrateurs et stocker toutes les données financières dans les applications des utilisateurs. Cela leur donnerait un contrôle total sur les séances d’entraînement.

La recherche a également qualifié la vulnérabilité de risque élevé en raison de ses effets dévastateurs. Elle a nui à la réputation des opérations de Wodify et a imposé un grand préjudice financier aux utilisateurs et à l’entreprise, car les hackers pouvaient accéder aux systèmes financiers.

Malgré les effets et l’ampleur de ces attaques, Wodify n’a pas fait de commentaire à ce sujet et n’a pas non plus publié de déclaration sur la manière dont elle allait corriger ladite vulnérabilité. Le rapport de Prebreza indique que la vulnérabilité de Wodify a été découverte le 7 janvier, mais que l’entreprise a été mise au courant de la situation le 12 février.

L’application Wodify a signalé la vulnérabilité le 23 février, mais selon PortSwigger, l’entreprise n’a pas fait d’autres déclarations à la demande.

Wodify se penche sur la vulnérabilité

Après la découverte de la vulnérabilité, les équipes responsables ont contacté le PDG de Wodify, Ameet Shah, qui a également fait équipe avec le responsable de la technologie chez Bishop Fox. Les dirigeants de l’entreprise ont participé à des réunions qui se sont tenues en avril afin de trouver des moyens de résoudre le problème.

Le 19 avril, Wodify a publié une déclaration indiquant que la vulnérabilité découverte serait corrigée en trois mois. Cependant, l’entreprise n’a pas respecté ces délais, mais au contraire, elle a constamment repoussé la date de correction de la vulnérabilité, laissant les utilisateurs exposés.

L’entreprise avait initialement donné le mois de mai comme date de mise à jour. Toutefois, cette date a ensuite été modifiée pour devenir le 11 juin, avant d’être reportée au 26 juin. La société n’a pas non plus publié de réponses à Bishop Fox. Elle a ensuite déclaré que la date du correctif avait été repoussée au 5 août.

Bishop Fox a ensuite contacté Wodify après avoir omis d’appliquer le correctif, comme indiqué précédemment le 6 août. La société de sécurité a déclaré qu’étant donné que Wodify n’avait pas travaillé sur le problème de sécurité, la vulnérabilité serait divulguée au public. Bishop Fox en a finalement informé le public le 13 août.

D’autre part, Wodify n’a pas non plus indiqué si la vulnérabilité a déjà été corrigée. Bishop Fox a également exhorté les utilisateurs de Wodify à prendre contact avec l’entreprise pour obtenir une confirmation à ce sujet et savoir quand le problème sera corrigé.