< p class = "meta"> Av Charlie Osborne for Zero Day | 13. september 2021 – 16:06 GMT (17:06 BST) | Tema: Sikkerhet
En usikret database som inneholder over 61 millioner poster relatert til brukbar teknologi og treningstjenester, ble avslørt online.
Mandag sa WebsitePlanet, sammen med cybersikkerhetsforsker Jeremiah Fowler, at databasen tilhørte GetHealth.
GetHealth, basert i New York, beskriver seg selv som en “enhetlig løsning for tilgang til helse- og velværedata fra hundrevis av bærbare, medisinske enheter og apper.” Firmaets plattform er i stand til å hente helserelaterte data fra kilder, inkludert Fitbit, Misfit Wearables, Microsoft Band, Strava og Google Fit.
30. juni 2021 oppdaget teamet en database på nettet som ikke var passordbeskyttet.
Forskerne sa at over 61 millioner poster var inneholdt i datalagret, inkludert store deler av brukerinformasjon – noen av dem kan betraktes som følsomme – for eksempel navn, fødselsdatoer, vekt, høyde, kjønn og GPS -logger, blant andre datasett.
Mens prøvetaking av et sett på omtrent 20 000 poster for å verifisere dataene, fant teamet at de fleste datakilder var fra Fitbit og Apples HealthKit.
WebsitePlanet
“Denne informasjonen var i ren tekst mens det var en ID som så ut til å være kryptert,” sa forskerne. “Geolokaliseringen var strukturert som i” America/New_York “,” Europe/Dublin “og avslørte at brukere var lokalisert over hele verden.”
WebsitePlanet
“Filene viser også hvor data er lagret og en blåkopi av hvordan nettverket fungerer fra backend og ble konfigurert,” la teamet til.
Henvisninger til GetHealth i 16,71 GB -databasen indikerte at selskapet var den potensielle eieren, og når dataene hadde blitt validert på oppdagelsesdagen, varslet Fowler privat selskapet om funnene hans. GetHealth reagerte raskt, og systemet ble sikret i løpet av få timer. Samme dag kontaktet firmaets CTO, informerte ham om at sikkerhetsspørsmålet nå var løst, og takket forskeren.
“Det er uklart hvor lenge disse postene ble avslørt eller hvem som ellers kan ha hatt tilgang til datasettet,” sa WebsitePlanet. “[…] Vi antyder ingen forseelser fra GetHealth, deres kunder eller partnere. Vi antyder heller ikke at noen kunde- eller brukerdata var i fare. Vi klarte ikke å fastslå det eksakte antallet berørte personer før databasen var begrenset fra offentlig tilgang. ”
ZDNet har kontaktet GetHealth med flere spørsmål, og vi oppdaterer når vi hører tilbake.
Tidligere og relatert dekning
Kinesiske utviklere avslører data som tilhører Android -spillere
Usikrede servere og skytjenester: Hvordan fjernarbeid har økt angrepsflaten som hackere kan målrette mot 23.600 hackede databaser har lekket fra et nedlagt nettsted for databrudd »
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 