FitMetrix健身软件开发公司泄露119GB用户数据

FitMetrix成立于2013年，是一家健身技术和性能跟踪公司，主要为健身房和小组课程建立健身追踪软件，显示心率及其他健身指标信息，以进行交互式锻炼。根据一份政府文件显示，该公司在今年早些时候已被总部位于美国加州圣路易斯奥比斯波的另一家健身房软件开发公司Mindbody，以1530万美元的价格收购。

上周，一名研究人员在3台未受保护的服务器上发现了数百万FitMetrix用户的个人资料。目前尚不清楚这些服务器究竟已经在线暴露了多久，但是根据研究人员的说法，这些服务器早在9月份就已被Shodan（开放端口和数据库搜索引擎）编入索引。

这些服务器包含两个相同的ElasticSearch实例和一个存储服务器，全部托管在Amazon Web Service上，但没有一个受密码保护，这也就意味着，任何知道该服务器IP地址的人都可以随意访问大量的FitMetrix用户个人资料。

Hacken.io公司网络风险研究主管Bob Diachenko发现，这些数据库中共计包含1.135亿条记录，但目前并不清楚有多少用户直接受到影响。据悉，FitMetrix通过这台服务器暴露的不仅限于用户的个人资料，还包括一些有关设施和其他数据点的信息，具体包括用户的姓名、性别、出生日期、电子邮箱地址、电话号码、健身地点以及紧急联系人等等。

在发现这组服务器后，Diachenko曾多次尝试通过电子邮件与Mindbody取得联系，但均没有成功。不过，在相关媒体曝光该消息后，Mindbody已经采取了措施保护这组服务器。  

针对此事，Mindbody首席信息安全官Jason Loomis回应称，

我们最近意识到，与在线存储的FitMetrix技术相关的某些数据可能已被暴露。我们已经采取了措施来解决该问题。目前的迹象表明，这些数据的确包含了由FitMetrix管理的一部分消费者信息，这些数据已经于2018年2月被Mindbody收购，但并不包括所有登录凭证、密码、信用卡信息或个人健康信息。

不过，Diachenko否定了Loomis给出的说辞，因为Diachenko在对数据进行分析后发现，这些数据中存在“一些”用户健康信息，甚至还包含几项记录，包括身高、体重和鞋码，以及各类FitMetrix计划指标等。

目前还不知道有多少人已经访问了这组数据库，但Diachenko肯定他绝不是第一个找到暴露数据库的人。因为Diachenko在这组服务器上发现了一封勒索信，似乎是由远程攻击者留下的。该攻击者在勒索信中声称自己已经下载了数据库的内容，并索要0.1比特币（约650美元）来才能恢复其数据。但很显然，诈骗者并没有成功，且并未能删除掉这些数据。

根据5月25日正式生效的欧盟《通用数据保护条例》相关规定，Mindbody可能将面临欧洲当局给出的罚款处罚——违规最高罚金可达公司全球总收益的4%。

不过，在如今这种全民健身的风潮中，健身软件中无疑涵盖着非常丰富且有价值的个人信息，而这一现状也成功吸引了攻击者的目光。所以，很显然，FitMetrix并不是今年以来第一家遭此命运的健身软件公司，下面就带大家一起了解一下今年以来发生的几起严重的健身软件数据泄露事件：

Strava健身软件泄露美军多处军事基地

2018年1月，美国一款健身应用软件（Strava）将用户锻炼数据在网络上公布，涉嫌泄露美国涉密军事信息。

据悉，Strava是一款集健身和社交功能为一体的应用，用户可以将自己运动时间、成绩、轨迹等信息通过网络上传至应用服务器，与他人分享。

去年11月，Strava将其所有用户数据做成“热力地图”在网络上公布，旨在展示用户运动地点以及最受欢迎的跑步或骑行路线。然而，由于不少美军现役军人在使用这款应用，结果导致许多美军基地的地理位置也在“热力图”上清晰地显现出来，大量军事基地方位遭到曝光。此外，不少士兵经常围着一些特定建筑或者路线慢跑，也间接暴露了基地规模以及建筑物分布。

对此，国防部发言人曼宁表示，

我们会严肃对待这一事件。为了保证国防部雇员在美国本土和海外的安全，我们正在评估是否需要增加培训，发布新指令或者制定新政策。科技迅速发展要求政策进行相应修改，以保障安全。我们建议国防部工作人员在使用网络科技时适用严格的隐私设定。

Under Armour健身应用泄露1.5亿用户信息

2018年3月，美国体育运动装备品牌Under Armour旗下的健康和健身追踪应用MyFitnessPal遭到黑客攻击，大约有1.5亿用户受到影响。据悉，受影响的信息包括用户名、电子邮件地址和哈希密码。

PumpUp健身应用泄露600万用户健康数据

2018年6月，位于加拿大安大略省的PumpUp公司发布声明称，旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据，包括用户之间发送的健康信息和私人消息。

据悉，PumpUp公司开发的社交健康追踪应用PumpUp支持Android和iOS平台，并声称在全球拥有超过600万用户。通过该应用，用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面，它也可以被用来追踪用户活动，如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器，并托管在亚马逊的云端。然而，安全研究员Oliver Hough发现，该服务器并没有设置密码，这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

研究人员指出，暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息，以及用户的生物特征、锻炼和活动目标、用户头像，还有用户是否已经被屏蔽、是否对应用进行了评分。此外，该应用还暴露了用户提交的健康信息，如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。

Polar健身软件泄露6000多名特工信息

2018年7月，荷兰安全研究人员发现，供用户记录健身数据的芬兰手机应用软件Polar，竟意外泄露69国军事及情报人员的敏感资料。

据悉，Polar将2014年以来收集到的用户运动数据绘制成电子地图并公布在其网站上，浏览者只需找到感兴趣的“敏感地点”，查看附近运动用户的个人信息，再查询该用户所有运动历史，通过多条运动路线的交叉，即可获得其住址等隐私信息，最后对用户注册信息、家庭住址、社交平台等信息加以关联分析，就能确定其真实身份。

根据荷兰新闻网站DeCorrespondent调查，利用Polar程序中的活动地图，他们总共发现了69个不同国家的6460名军事和情报机构的用户，并准确追踪到其姓名、家庭地址、有几个女儿、妻子在哪里工作，以及他们的爱好都是什么等信息。

就这样，情报人员变幻莫测的行踪和机密行动在Polar上一览无余，成了共享信息，就连美国国家安全局也毫不例外地“中招”了。目前，Polar已经暂停了其全球活动地图功能。

总结

随着大数据和移动应用时代的到来，机密的泄露似乎已经成了防不胜防的问题。而这一系列的事情都在警示我们必须认识到数字科技带来的后果，科技使越来越多的事情成为可能，我们却必须提高安全性和敏感性来适应其负面效应。

本文翻译自：https://techcrunch.com/2018/10/11/fitmetrix-mindbody-data-exposed-password/

翻译作者：小二郎 原文地址：  http://www.4hou.com/info/news/14061.html