< p class = "meta"> Af Charlie Osborne for Zero Day | 13. september 2021 – 16:06 GMT (17:06 BST) | Emne: Sikkerhed
En usikret database indeholdende over 61 millioner optegnelser relateret til bærbar teknologi og fitness -tjenester blev efterladt udsat online.
Mandag sagde WebsitePlanet sammen med cybersikkerhedsforsker Jeremiah Fowler, at databasen tilhørte GetHealth.
Med base i New York beskriver GetHealth sig selv som en “samlet løsning for at få adgang til sundheds- og wellness -data fra hundredvis af wearables, medicinsk udstyr og apps.” Firmaets platform er i stand til at hente sundhedsrelaterede data fra kilder, herunder Fitbit, Misfit Wearables, Microsoft Band, Strava og Google Fit.
Den 30. juni 2021 opdagede teamet en database online, der ikke var beskyttet med adgangskode.
Forskerne sagde, at over 61 millioner optegnelser var indeholdt i datalagret, herunder omfattende dele af brugeroplysninger – hvoraf nogle kunne betragtes som følsomme – såsom deres navne, fødselsdatoer, vægt, højde, køn og GPS -logs, blandt andre datasæt.
Mens der udtages prøver på et sæt på cirka 20.000 poster for at verificere dataene, fandt teamet, at størstedelen af datakilderne var fra Fitbit og Apples HealthKit.
WebsitePlanet
“Disse oplysninger var i ren tekst, mens der var et ID, der syntes at være krypteret,” sagde forskerne. “Geo -placeringen var struktureret som i” America/New_York “,” Europe/Dublin “og afslørede, at brugere var placeret over hele verden.”
WebsitePlanet
“Filerne viser også, hvor data er gemt og en blueprint af, hvordan netværket fungerer fra backend og blev konfigureret,” tilføjede teamet.
Henvisninger til GetHealth i 16,71 GB -databasen angav, at virksomheden var den potentielle ejer, og når dataene var blevet valideret på opdagelsesdagen, underrettede Fowler privat virksomheden om hans fund. GetHealth reagerede hurtigt, og systemet blev sikret inden for få timer. Samme dag nåede firmaets CTO ud, informerede ham om, at sikkerhedsproblemet nu var løst og takkede forskeren.
“Det er uklart, hvor længe disse poster blev afsløret, eller hvem der ellers kan have haft adgang til datasættet,” sagde WebsitePlanet. “[…] Vi antyder ikke nogen forseelser fra GetHealth, deres kunder eller partnere. Vi antyder heller ikke, at nogen kunde- eller brugerdata var i fare. Vi kunne ikke bestemme det nøjagtige antal berørte personer før databasen var begrænset til offentlig adgang. ”
ZDNet har kontaktet GetHealth med yderligere forespørgsler, og vi opdaterer, når vi hører tilbage.
Tidligere og relateret dækning
Kinesiske udviklere afslører data tilhørende Android -gamere
Usikrede servere og cloud -tjenester: Hvordan fjernarbejde har øget den angrebsoverflade, som hackere kan målrette mod 23.600 hackede databaser er lækket fra et nedlagt 'data breach index' websted
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 