Aplikace Fitify nechala na nezabezpečeném úložišti Google Cloud volně dostupných 373 000 souborů, včetně 138 000 fotografií pokroku svých uživatelů. Fotografie často zachycovaly uživatele v minimálním oblečení.
Privátní data byla dostupná bez jakéhokoli hesla či bezpečnostních klíčů. Aplikace navíc obsahovala další zakódované údaje, které by útočníkům mohli umožnit přístup k dalším uživatelským údajům.
Fitify je známá česká fitness aplikace s více než 10 miliony stažení z Google Play a odhadovanými 25 miliony instalací napříč platformami.
Na počátku května tým Cybernews odhalil veřejně přístupný bucket Fitify. Většina souborů byly tréninkové plány a instruktážní videa, výzkumníci si však všimli i fotografií sdílených s „AI trenérem“ a 3D skenů těl.
Zamýšlenou cílovou skupinou Fitify jsou lidé, kteří chtějí hubnout, zlepšit kondici nebo jinak přetvářet své tělo. 3D skeny umožňují sledovat změny v čase, když uživatelé cvičí či drží dietu. Popis aplikace na Google Play přitom jasně uvádí, že „data jsou šifrována při přenosu“, což uživatele ujišťuje, že jejich soukromé fotografie nebudou odhaleny.
Tým Cybernews však k uložišti mohl přistupovat bez jakéhokoli hesla nebo klíče.
„Stojí za zmínku, že snímky pokroku a skeny těla jsou často pořizovány v minimálním oblečení, aby lépe vynikly změny hmotnosti nebo objemu svalů. Většina uniklých snímků může tedy být silně intimní a uživatelé by je obvykle nechtěli sdílet veřejně,“ uvedli výzkumníci.
Společnost Fitify Workouts reagovala po upozornění uzavřením veřejného přístupu k uložišti.
Jak velký byl únik dat Fitify?
Uniklá data obsahovala 373 000 souborů. Z nich 206 000 tvořily profilové fotografie, dalších 138 000 bylo označeno jako snímky pokroku. Třináct tisíc souborů pocházelo z příloh v chatu s AI trenérem a 6 000 záznamů bylo označeno jako „Body Scan“ – zahrnovaly fotografie a metadata generovaná umělou inteligencí.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Funkce body scan umožňuje uživatelům vytvořit 3D snímek svého těla; aplikace poté poskytuje detailní analýzu svalové hmoty, tělesného tuku, držení těla a dalších parametrů.
„Únik ukazuje, že nastavené kontroly přístupu nebyly schopny data zabezpečit. Skutečnost, že k nim mohl kdokoli přistupovat bez hesel, dokazuje absenci šifrování dat v klidovém stavu,“ vysvětlil tým Cybernews.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU