Fitify-datalæk afslører 138.000 følsomme fremskridtsbilleder i cloud-brist

Et stort datalæk fra Fitify har afsløret over 373.000 brugerfiler – herunder mere end 138.000 følsomme fremskridtsbilleder – som følge af en usikret Google Cloud-lagringsspand. Bristen rejser alvorlige bekymringer om privatlivets fred for den populære fitnessapps 25 millioner brugere.

Usikret Cloud-lagring afslører private medier

Bruddet blev opdaget af forskere hos Cybernews og skyldtes en offentligt tilgængelig Google Cloud-spand ejet af Fitify Workouts, udvikleren bag appen. Ingen adgangskoder eller sikkerhedsnøgler var nødvendige for at få adgang til dataene.

Blandt de 373.000 lækkede filer var:

• 138.000 fremskridtsbilleder uploadet af brugere, der dokumenterer vægttab eller kropsændringer
• 206.000 profilbilleder
• 6.000 kropsscanningsfiler, inklusive billeder og AI-genererede metadata
• 13.000 vedhæftede filer fra AI-trænerens beskeder

Mange af de lækkede billeder var taget med minimal beklædning, hvilket gør lækket særligt følsomt. Brugerne har sandsynligvis troet, at disse billeder var private og kun delt med appens AI-coach-funktion.

Hårdkodede nøgler afslører yderligere risiko

Fitifys sikkerhedsproblemer stoppede ikke ved cloud-konfigurationen. Forskerne fandt også hårdkodede hemmelige nøgler i både udviklings- og produktionsmiljøet i appen. Disse omfattede:

• Google Client ID og Android Client ID
• Google API-nøgler
• Firebase-legitimationsoplysninger
• Facebook App ID og Client Token
• Algolia API-nøgle

Disse oplysninger kunne give angribere mulighed for at udgive sig for at være legitime appinstanser, få adgang til brugerdata, manipulere indhold i cloud-lagringen eller udtrække data fra tredjepartstjenester som Algolia og Facebook.

Alarmende nok nævnte Fitifys privatlivspolitik ikke noget om den lækkede Algolia-nøgle. Da Algolia ikke understøtter selv-hosting, håndteres eventuelt lagrede brugerdata af SaaS-udbyderen eller deres partnere.

Virksomhedens reaktion og næste skridt

Efter at være blevet kontaktet af Cybernews lukkede Fitify den eksponerede cloud-instans. Selskabet har dog endnu ikke udtalt sig officielt om lækkets fulde omfang eller mulige afhjælpningsforanstaltninger.

Forskerne anbefaler følgende:

• Tilbagekald alle lækkede legitimationsoplysninger og erstat dem med sikkert lagrede nøgler
• Gennemgå alle eksponerede endpoints for misbrug
• Opdater appen for at fjerne afhængigheden af hårdkodede nøgler
• Styrk adgangskontrol og rettigheder for cloud-lagring

Konklusion

Fitify-datalækket viser, hvor skrøbelig digital privatlivsbeskyttelse kan være – selv for populære apps med millioner af downloads. Når personlige fitnessdata, kropsscanninger og sociale adgangsnøgler er i spil, må virksomheder tage cloud-sikkerhed og håndtering af API-nøgler langt mere alvorligt. Indtil da kan brugerne kun håbe, at deres følsomme billeder ikke havner i de forkerte hænder.