Como si la Liga Nacional de Fútbol Americano (NFL) no tuviera suficientes cosas por las cuales preocuparse durante la semana del Super Bowl, una empresa de seguridad ha encontrado una vulnerabilidad evidente en su aplicación móvil.

A días del gran juego, se dio a conocer que NFL Mobile aparentemente filtra los datos de perfil del usuario a través de una llamada secundaria de la API que no está cifrada.

Investigadores de Wandera, un proveedor de datos móviles, dijo que una vez que un usuario inicia sesión en la aplicación NFL Mobile, las credenciales del usuario se envían en claro en una llamada a la API secundaria sin cifrar. El nombre de usuario y su dirección de correo electrónico también se encontraron en una cookie sin cifrar que se crea al iniciar sesión y es utilizada en llamadas posteriores realizadas por la aplicación móvil a diferentes dominios NFL.com.

El vocero de Wandera dijo al sitio de noticias Threatpost que la NFL fue notificada el lunes pasado y todavía no ha respondido.

"Con estas credenciales, un atacante puede acceder al perfil completo del usuario en NFL.com", dijo Wandera en un comunicado. "Esta página de perfil no está cifrada, así que los datos personales registrados también son vulnerables a una ataque man-in-the-middle. "No está claro si datos como los números de tarjetas de crédito también son visibles, debido a que el equipo de seguridad de Wandera no trató de comprar mercancía de la NFL durante la revisión", agregó la compañía.

Usando estas credenciales, un atacante puede obtener el nombre completo del usuario, su dirección, número de teléfono, fecha de nacimiento y otros datos que podrían contribuir al robo de identidad y a ataques contra cuentas de redes sociales, en caso de que dichas credenciales hayan sido reutilizadas.