Meer dan 60 miljoen draagbare fitness-trackingrecords die via een onbeveiligde database worden weergegeven

Een onbeveiligde database met meer dan 61 miljoen records met betrekking tot draagbare technologie en fitnessdiensten werd online achtergelaten.

Maandag zei WebsitePlanet, samen met cybersecurity-onderzoeker Jeremiah Fowler, dat de database toebehoorde aan GetHealth.

GetHealth, gevestigd in New York, omschrijft zichzelf als een “verenigde oplossing voor toegang tot gezondheids- en welzijnsgegevens van honderden wearables, medische apparaten en apps.” Het platform van het bedrijf kan gezondheidsgerelateerde gegevens halen uit bronnen zoals Fitbit, Misfit Wearables, Microsoft Band, Strava en Google Fit.

Op 30 juni 2021 ontdekte het team online een database die niet beveiligd was met een wachtwoord.

De onderzoekers zeiden dat er meer dan 61 miljoen records waren opgenomen in de gegevensopslag, waaronder enorme delen van gebruikersinformatie – waarvan sommige als gevoelig kunnen worden beschouwd – zoals hun namen, geboortedata, gewicht, lengte, geslacht en GPS-logboeken , onder andere datasets.

Tijdens het samplen van een set van ongeveer 20.000 records om de gegevens te verifiëren, ontdekte het team dat de meeste gegevensbronnen afkomstig waren van Fitbit en Apple’s HealthKit.

WebsitePlanet

“Deze informatie was in platte tekst terwijl er een ID was die gecodeerd leek te zijn”, aldus de onderzoekers. “De geografische locatie was gestructureerd zoals in “Amerika/New_York”, “Europa/Dublin” en onthulde dat gebruikers zich over de hele wereld bevonden.”

screenshot-2021-09-08-at-15-18-57.png

WebsitePlanet

“De bestanden laten ook zien waar gegevens worden opgeslagen en een blauwdruk van hoe het netwerk vanuit de backend werkt en is geconfigureerd”, voegde het team eraan toe.

Verwijzingen naar GetHealth in de database van 16,71 GB gaven aan dat het bedrijf de potentiële eigenaar was, en zodra de gegevens waren gevalideerd op de dag van ontdekking, bracht Fowler het bedrijf privé op de hoogte van zijn bevindingen. GetHealth reageerde snel en het systeem was binnen enkele uren beveiligd. Op dezelfde dag nam de CTO van het bedrijf contact met hem op, deelde hem mee dat het beveiligingsprobleem nu was opgelost en bedankte de onderzoeker.

“Het is onduidelijk hoe lang deze records zijn blootgesteld of wie er nog meer toegang hebben gehad tot de dataset”, aldus WebsitePlanet. “[…] We impliceren geen wangedrag door GetHealth, hun klanten of partners. We impliceren ook niet dat klant- of gebruikersgegevens gevaar liepen. We waren niet in staat om het exacte aantal getroffen personen te bepalen voordat de database niet toegankelijk was voor het publiek.”

ZDNet heeft contact opgenomen met GetHealth met aanvullende vragen en we zullen updaten wanneer we iets horen.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of hoger bij Keybase: charlie0


Posted By : keluaran sidney hari ini