Wyciekło ponad 61 milionów danych użytkowników urządzeń typu wearable

O wycieku poinformowała platforma WebsitePlanet, która wraz z badaczem cyberbezpieczeństwa Jeremiahem Fowlerem ujawniła, że baza danych należała do firmy GetHealth.

Poufne dane w sieci

GetHealth opisuje siebie jako „ujednolicone rozwiązanie dostępu do danych dotyczących zdrowia i wellness z setek wearables, urządzeń medycznych i aplikacji." Platforma firmy jest w stanie wyciągnąć dane związane ze zdrowiem z różnych źródeł, w tym Fitbit, Misfit Wearables, Microsoft Band, Strava i Google Fit.

30 czerwca 2021 roku odkryto w sieci bazę danych, która nie była chroniona hasłem. Badacze stwierdzili, że w repozytorium danych znajdowało się ponad 61 milionów rekordów, w tym ogromne ilości informacji o użytkownikach, takich jak ich imiona, daty urodzenia, waga, wzrost, płeć i logi GPS.

Podczas próbkowania zestawu około 20 tysięcy rekordów zespół odkrył, że większość źródeł danych pochodziła z Fitbit i Apple's HealthKit. „Pliki pokazują również, gdzie przechowywane są dane oraz schemat działania sieci od strony zaplecza i jak została ona skonfigurowana" - dodał zespół.

Dziurawa baza danych

Fowler prywatnie powiadomił firmę o swoich ustaleniach. GetHealth zareagował błyskawicznie i system został zabezpieczony w ciągu kilku godzin. Tego samego dnia CTO firmy skontaktował się z nim. poinformował, że problem bezpieczeństwa został rozwiązany i podziękował badaczowi.

„Nie jest jasne, jak długo te rekordy były narażone lub kto jeszcze mógł mieć dostęp do zbioru danych. Nie sugerujemy żadnego wykroczenia GetHealth – zaznacza WebsitePlanet. - Nie sugerujemy również, że jakiekolwiek dane klientów lub użytkowników były zagrożone. Nie byliśmy w stanie określić dokładnej liczby dotkniętych osób, zanim baza danych została wycofana z publicznego dostępu."