< p class="meta"> Di Charlie Osborne per Zero Day | 13 settembre 2021 — 16:06 GMT (17:06 BST) | Argomento: Sicurezza
Un database non protetto contenente oltre 61 milioni di record relativi alla tecnologia indossabile e ai servizi di fitness è stato lasciato esposto online.
Lunedì, WebsitePlanet, insieme al ricercatore sulla sicurezza informatica Jeremiah Fowler, ha affermato che il database apparteneva a GetHealth.
Con sede a New York, GetHealth si descrive come una “soluzione unificata per accedere ai dati sulla salute e sul benessere da centinaia di dispositivi indossabili, dispositivi medici e app”. La piattaforma dell'azienda è in grado di estrarre dati relativi alla salute da fonti tra cui Fitbit, Misfit Wearables, Microsoft Band, Strava e Google Fit.
Il 30 giugno 2021, il team ha scoperto un database online non protetto da password.
I ricercatori hanno affermato che oltre 61 milioni di record erano contenuti nel repository di dati, comprese vaste aree di informazioni sugli utenti – alcune delle quali potrebbero essere considerate sensibili – come i loro nomi, date di nascita, peso, altezza, sesso e registri GPS, tra gli altri set di dati.
Durante il campionamento di una serie di circa 20.000 record per verificare i dati, il team ha scoperto che la maggior parte delle fonti di dati proveniva da Fitbit e HealthKit di Apple.
WebsitePlanet
“Queste informazioni erano in testo semplice mentre c'era un ID che sembrava essere crittografato”, hanno detto i ricercatori. “La geolocalizzazione è stata strutturata come in “America/New_York”, “Europa/Dublino” e ha rivelato che gli utenti si trovavano in tutto il mondo”.
WebsitePlanet
“I file mostrano anche dove sono archiviati i dati e un progetto di come funziona la rete dal backend ed è stata configurata”, ha aggiunto il team.
I riferimenti a GetHealth nel database da 16,71 GB indicavano che la società era il potenziale proprietario e, una volta convalidati i dati il giorno della scoperta, Fowler ha notificato privatamente alla società le sue scoperte. GetHealth ha risposto rapidamente e il sistema è stato protetto nel giro di poche ore. Lo stesso giorno, il CTO dell'azienda lo ha contattato, lo ha informato che il problema di sicurezza era stato risolto e ha ringraziato il ricercatore.
“Non è chiaro per quanto tempo questi record sono stati esposti o chi altro potrebbe aver avuto accesso al set di dati”, ha affermato WebsitePlanet. “[…] Non stiamo insinuando alcun illecito da parte di GetHealth, dei suoi clienti o partner. Né, stiamo insinuando che i dati dei clienti o degli utenti fossero a rischio. Non siamo stati in grado di determinare il numero esatto di persone interessate prima del database è stato vietato l'accesso del pubblico.”
ZDNet ha contattato GetHealth con ulteriori domande e aggiorneremo quando avremo notizie.
Copertura precedente e correlata
Gli sviluppatori cinesi espongono i dati appartenenti ai giocatori Android
Server non protetti e servizi cloud: come il lavoro a distanza ha aumentato la superficie di attacco che gli hacker possono prendere di mira
23.600 database compromessi sono trapelate da un sito defunto di “indice di violazione dei dati”
Hai un suggerimento? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 