Expuestos más de 60 millones de registros desde Gadgets para fitness incluido Fitbit y HealthKit de Apple

  • Una base de datos no segura que contiene más de 61 millones de registros relacionados con la tecnología portátil y los servicios de fitness quedó expuesta en línea.

El lunes, WebsitePlanet, junto con el investigador de ciberseguridad Jeremiah Fowler, dijo que la base de datos pertenecía a GetHealth.

Con sede en Nueva York, GetHealth se describe a sí misma como una “solución unificada para acceder a datos de salud y bienestar de cientos de dispositivos portátiles, dispositivos médicos y aplicaciones”. La plataforma de la empresa puede extraer datos relacionados con la salud de fuentes que incluyen Fitbit, Misfit Wearables, Microsoft Band, Strava y Google Fit.

El 30 de junio de 2021, el equipo descubrió una base de datos en línea que no estaba protegida con contraseña.

Los investigadores dijeron que más de 61 millones de registros estaban contenidos en el repositorio de datos, incluida una gran cantidad de información del usuario, algunos de los cuales podrían considerarse confidenciales, como sus nombres, fechas de nacimiento, peso, altura, sexo y registros de GPS. , entre otros conjuntos de datos.

Mientras tomaba muestras de un conjunto de aproximadamente 20.000 registros para verificar los datos, el equipo descubrió que la mayoría de las fuentes de datos eran de Fitbit y HealthKit de Apple

captura de pantalla-2021-09-13-at-17-02-11.png

“Esta información estaba en texto sin formato, mientras que había una identificación que parecía estar encriptada”, dijeron los investigadores. “La ubicación geográfica se estructuró como en” América / New_York “,” Europa / Dublín “y reveló que los usuarios se encontraban en todo el mundo”.

captura de pantalla-2021-09-08-at-15-18-57.png

Sitio webPlaneta

“Los archivos también muestran dónde se almacenan los datos y un plano de cómo funciona la red desde el backend y cómo se configuró”, agregó el equipo.

Las referencias a GetHealth en la base de datos de 16.71 GB indicaron que la empresa era la propietaria potencial, y una vez que los datos fueron validados el día del descubrimiento, Fowler notificó en privado a la empresa de sus hallazgos. GetHealth respondió rápidamente y el sistema se aseguró en cuestión de horas. El mismo día, el director de tecnología de la empresa se acercó, le informó que el problema de seguridad ya estaba resuelto y agradeció al investigador.

“No está claro cuánto tiempo estuvieron expuestos estos registros o quién más pudo haber tenido acceso al conjunto de datos”, dijo WebsitePlanet. “[…] No estamos insinuando ningún delito por parte de GetHealth, sus clientes o socios. Tampoco estamos insinuando que los datos de algún cliente o usuario estuvieran en riesgo. No pudimos determinar el número exacto de personas afectadas antes de la base de datos estaba restringido del acceso público “.

Fuente : ZDNet

Deja una respuesta