< p class = "meta"> Av Charlie Osborne för Zero Day | 13 september 2021 – 16:06 GMT (17:06 BST) | Ämne: Säkerhet
En osäker databas som innehåller över 61 miljoner poster relaterade till bärbar teknik och fitnesstjänster lämnades avslöjad online.
På måndagen sa WebsitePlanet, tillsammans med cybersäkerhetsforskaren Jeremiah Fowler, att databasen tillhörde GetHealth.
GetHealth, baserat i New York, beskriver sig själv som en “enhetlig lösning för åtkomst till hälso- och friskvårdsdata från hundratals bärbara apparater, medicintekniska appar och appar.” Företagets plattform kan hämta hälsorelaterade data från källor inklusive Fitbit, Misfit Wearables, Microsoft Band, Strava och Google Fit.
Den 30 juni 2021 upptäckte teamet en databas online som inte var lösenordsskyddad.
Forskarna sa att över 61 miljoner poster fanns i datalageret, inklusive stora delar av användarinformation – varav några kan anses vara känsliga – till exempel deras namn, födelsedatum, vikt, höjd, kön och GPS -loggar, bland andra datamängder.
Medan provtagning av en uppsättning av cirka 20 000 poster för att verifiera data fann teamet att majoriteten av datakällorna var från Fitbit och Apples HealthKit.
WebsitePlanet
“Denna information fanns i klartext medan det fanns ett ID som tycktes vara krypterat”, sa forskarna. “Geoläget var strukturerat som i” America/New_York “,” Europe/Dublin “och avslöjade att användare fanns över hela världen.”
WebsitePlanet
“Filerna visar också var data lagras och en ritning av hur nätverket fungerar från backend och konfigurerades”, tillade teamet.
Hänvisningar till GetHealth i 16,71 GB -databasen indikerade att företaget var den potentiella ägaren, och när uppgifterna hade validerats på upptäcktsdagen meddelade Fowler privat företaget om hans fynd. GetHealth svarade snabbt och systemet var säkrat inom några timmar. Samma dag nådde företagets CTO ut, informerade honom om att säkerhetsfrågan nu var löst och tackade forskaren.
“Det är oklart hur länge dessa poster har exponerats eller vem som annars kan ha haft tillgång till datamängden”, sa WebsitePlanet. “[…] Vi antyder inte något fel av GetHealth, deras kunder eller partners. Vi antyder inte heller att någon kund- eller användardata var i fara. Vi kunde inte fastställa det exakta antalet drabbade personer innan databasen var begränsad från allmänhetens tillgång. ”
ZDNet har kontaktat GetHealth med ytterligare frågor och vi kommer att uppdatera när vi hörs.
Tidigare och relaterad täckning
Kinesiska utvecklare avslöjar data som tillhör Android -spelare
Osäkra servrar och molntjänster: Hur distansarbete har ökat attackytan som hackare kan rikta in sig på
23 600 hackade databaser har läckt från en nedlagd webbplats för dataintrång
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 