Среди сторонников здорового образа жизни большую популярность приобрели фитнес-приложения. Эти сервисы позволяют контролировать ход тренировок, вести журналы о показателях здоровья и общаться с единомышленниками. Однако, безобидное приложение может компрометировать различную пользовательскую информацию, в том числе весьма чувствительную. Аналитический центр компании InfoWatch подготовил дайджест последних утечек из фитнес-приложений и соответствующих компаний-разработчиков.
В начале октября зафиксирована утечка огромного массива данных из компании FitMetrix, разработчика приложений для тренировок. Исследователь безопасности Боб Дьяченко обнаружил незащищенный серверный кластер ElasticSearch. Пока неясно, сколько пользователей приложений затронул инцидент. Известно, что всего было скомпрометировано 113,5 млн записей: имена, половая принадлежность, адреса электронной почты, номера телефонов, фотографии профилей и т.д. Дьяченко также утверждает, что неизвестный мошенник скопировал базу данных и продавал ее за 0,1 биткойна (примерно $650).
Ранее была раскрыта утечка информации 6 млн подписчиков приложения PumpUp. Помимо таких личных данных, как имена, гендерная принадлежность, возраст и местоположение, на открытом облачном сервере Amazon хранились сведения о здоровье пользователей, переписка с тренерами и записи о тренировках. Кроме того, скомпрометированы отдельные токены Facebook и некоторое количество данных платежных карт (номер, срок действия, код CVV). Беспечные операторы базы данных больше недели не реагировали на сообщения журналистов, которые сигнализировали об утечке.
В этом году мир ИТ убедился, что утечки информации из фитнес-приложений затрагивают не только простых спортсменов. Подобные инциденты даже могут ставить под угрозу национальную безопасность отдельных стран. В начале 2018 г. стало известно, что сервис Strava раскрыл данные о передвижении американских солдат в Афганистане и Сирии, а также о расположении ряда военных объектов.
В ходе расследования, проведенного организацией Bellingcat и голландским изданием De Correspondent, выяснилось, что популярное приложение Polar Flow из-за системных ошибок компрометирует координаты военнослужащих и сотрудников спецслужб, а также медицинские показатели, маршруты, время тренировок, виды выполняемых упражнений. Определив местоположение того или иного секретного объекта (информация о многих из них широко известна общественности), можно было соотнести с ним список сотрудников, которые тренируются поблизости. Например, журналистам без особого труда удалось составить цифровые профили пользователей Polar, которые работают в Агентстве национальной безопасности США, Белом Доме, британской разведке MI6, тюрьме Гуантаномо на Кубе. Вскоре после этого Пентагон запретил американским военным использовать приложения с геолокацией в местах проведения военных операций и развертывания боевых соединений.
Связанные с приложениями хранилища данных представляют большой интерес для организованной киберпреступности, ведь они содержат большой спектр информации о миллионах пользователей. Так, в результате хакерской атаки на ресурсы компании Under Armour были украдены данные около 150 млн подписчиков MyFitnessPal — приложения для похудения. Известно, что добычей злоумышленников стали логины, адреса электронной почты и зашифрованные пароли. Утечка немедленно отразилась на инвесторах — акции Under Armour просели в цене на 4,6%.