Lebih dari 60 juta catatan pelacakan kebugaran yang dapat dipakai dan diekspos melalui basis data tanpa jaminan

  • Whatsapp

Bumiayu.id Sumber data termasuk HealthKit dan Fitbit Apple.

Basis data tanpa jaminan yang berisi lebih dari 61 juta catatan terkait dengan teknologi yang dapat dikenakan dan layanan kebugaran dibiarkan terbuka secara online.

Pada hari Senin, WebsitePlanet, bersama dengan peneliti keamanan siber Jeremiah Fowler, mengatakan database itu milik GetHealth.

Berbasis di New York, GetHealth menggambarkan dirinya sebagai “solusi terpadu untuk mengakses data kesehatan dan kebugaran dari ratusan perangkat yang dapat dikenakan, perangkat medis, dan aplikasi.” Platform perusahaan mampu menarik data terkait kesehatan dari sumber termasuk Fitbit, Misfit Wearables, Microsoft Band, Strava, dan Google Fit.

Lebih dari 60 juta catatan pelacakan kebugaran yang dapat dipakai dan diekspos melalui basis data tanpa jaminan

Pada 30 Juni 2021, tim menemukan database online yang tidak dilindungi kata sandi.

Para peneliti mengatakan bahwa lebih dari 61 juta catatan terkandung dalam penyimpanan data, termasuk sejumlah besar informasi pengguna – beberapa di antaranya dapat dianggap sensitif – seperti nama, tanggal lahir, berat badan, tinggi badan, jenis kelamin, dan log GPS. , di antara kumpulan data lainnya.

Saat mengambil sampel satu set sekitar 20.000 catatan untuk memverifikasi data, tim menemukan bahwa sebagian besar sumber data berasal dari Fitbit dan HealthKit Apple.

“Informasi ini dalam teks biasa sementara ada ID yang tampaknya dienkripsi,” kata para peneliti. “Lokasi geo terstruktur seperti di “Amerika/New_York,” “Eropa/Dublin” dan mengungkapkan bahwa pengguna berada di seluruh dunia.”

“File juga menunjukkan di mana data disimpan dan cetak biru bagaimana jaringan beroperasi dari backend dan dikonfigurasi,” tambah tim.

Referensi GetHealth dalam basis data 16,71 GB menunjukkan bahwa perusahaan tersebut adalah pemilik potensial, dan setelah data divalidasi pada hari penemuan, Fowler secara pribadi memberi tahu perusahaan tentang temuannya. GetHealth merespons dengan cepat dan sistem diamankan dalam hitungan jam. Pada hari yang sama, CTO perusahaan menghubungi, memberitahunya bahwa masalah keamanan sekarang telah diselesaikan, dan berterima kasih kepada peneliti.

“Tidak jelas berapa lama catatan ini diekspos atau siapa lagi yang mungkin memiliki akses ke dataset,” kata WebsitePlanet. “[…] Kami tidak menyiratkan kesalahan apa pun oleh GetHealth, pelanggan, atau mitra mereka. Kami juga tidak menyiratkan bahwa data pelanggan atau pengguna berisiko. Kami tidak dapat menentukan jumlah pasti individu yang terpengaruh sebelum database dibatasi dari akses publik.”

ZDNet telah menghubungi GetHealth dengan pertanyaan tambahan dan kami akan memperbaruinya ketika kami mendengarnya kembali.

Related posts