Утекли персональные данные пользователей носимых устройств

В Сети обнаружен незащищенный облачный сервер, на котором хранились персональные данные десятков миллионов сторонников здорового образа жизни. Судя по всему, все скомпрометированные персональные данные были получены из приложений для фитнеса и наблюдения за здоровьем, пишет ZDNet.

В понедельник, 13 сентября, авторы портала WebsitePlanet сообщили о базе с конфиденциальной информацией, которую они обнаружили совместно с исследователем безопасности Йеремией Фаулером (Jeremiah Fowler). Как удалось выяснить экспертам, хранилище с конфиденциальной информацией общим объемом 16,71 ГБ принадлежит компании GetHealth, базирующейся в Нью-Йорке.

GetHealth описывает себя как разработчика решения «для доступа к данным о здоровье и профилактике, поступающих с сотен носимых устройств, медицинских устройств, а также приложений». Платформа GetHealth может получать данные с таких приложений, как Fitbit, Misfit Wearables, Microsoft Band, Strava и Google Fit.

По словам исследователей, в найденном репозитории  было более 61 млн различных записей персональных данных. Значительная часть информации может рассматриваться как конфиденциальная: имена пользователей, даты рождения, вес, рост, пол и логи GPS. При этом данные сервиса геолокации были структурированы, так что можно было найти пользователей в разных странах.

Взяв выборку из 20 тыс. записей для проверки, исследователи выяснили, что большинство данных относятся к платформам Fitbit, а также HealthKit (от компании Apple). В тот же день Фаулер связался с компанией GetHealth, и через несколько часов данные были защищены паролем. Технический директор компании поблагодарил исследователя и сообщил, что проблема безопасности решена.

Представители WebsitePlanet говорят, что им не удалось выяснить, как долго хранилище данных находилось в открытом доступе и удалось ли третьим лицам получить доступ к нему. Но, конечно, нельзя исключать, что многие персональные данные подвергались риску.