Ein großes Datenleck bei der beliebten Fitness-App Fitify hat über 373.000 Benutzerdateien offengelegt – darunter mehr als 138.000 sensible Fortschrittsfotos. Grund dafür war ein ungesicherter Google Cloud-Speicher. Der Vorfall wirft ernste Datenschutzbedenken auf, insbesondere für die 25 Millionen Nutzer der App.
Laut Forschern von Cybernews war der Vorfall auf einen öffentlich zugänglichen Google Cloud Bucket zurückzuführen, der Fitify Workouts gehört – dem Entwickler hinter der App. Es waren keine Passwörter oder Sicherheitsschlüssel erforderlich, um auf die Daten zuzugreifen.
Zu den offengelegten Dateien gehörten:
- 138.000 Fortschrittsfotos, die von Nutzern zum Verfolgen von Gewichtsverlust oder Körperveränderungen hochgeladen wurden
- 206.000 Profilbilder
- 6.000 Körperscan-Dateien, inklusive Bilder und KI-generierter Metadaten
- 13.000 Anhänge aus Nachrichten des KI-Coachs
Viele der Fortschrittsbilder zeigten Nutzer in minimaler Kleidung, was die Sensibilität des Lecks besonders erhöht. Die Nutzer gingen vermutlich davon aus, dass diese Fotos privat und nur für die Interaktion mit dem KI-Coach bestimmt seien.
Harte Codierungen enthüllen weitere Risiken
Die Sicherheitsprobleme bei Fitify beschränkten sich nicht nur auf den falsch konfigurierten Cloud-Speicher. Die Forscher fanden auch hartcodierte Zugangsdaten in den Entwicklungs- und Produktionsumgebungen der App, darunter:
- Google Client ID und Android Client ID
- Google API-Schlüssel
- Firebase-Zugangsdaten
- Facebook App-ID und Client Token
- Algolia API-Schlüssel
Diese Informationen könnten Angreifern ermöglichen, sich als legitime App-Instanzen auszugeben, Benutzerdaten abzurufen, Inhalte im Cloud-Speicher zu manipulieren oder sogar auf Drittanbieterdienste wie Algolia oder Facebook zuzugreifen.
Besorgniserregend ist zudem, dass die Datenschutzrichtlinie von Fitify den geleakten Algolia-Schlüssel nicht erwähnt. Da Algolia kein Self-Hosting unterstützt, werden gespeicherte Nutzerdaten von Dritten oder dem Anbieter selbst verwaltet.
Reaktion des Unternehmens und nächste Schritte
Nachdem Cybernews Fitify kontaktiert hatte, wurde der ungesicherte Cloud-Bucket geschlossen. Allerdings hat das Unternehmen bisher keine offizielle Erklärung zum Umfang des Lecks oder zu Maßnahmen zur Schadensbegrenzung abgegeben.
Die Forscher empfehlen ein mehrstufiges Vorgehen:
- Rücknahme und Austausch der geleakten Zugangsdaten
- Prüfung der exponierten Endpunkte auf Missbrauch
- Entfernung hartcodierter Geheimnisse aus der App
- Verbesserung der Cloud-Zugriffsrechte und Mitarbeiterberechtigungen
Fazit
Das Fitify-Datenleck zeigt, wie zerbrechlich digitale Privatsphäre selbst bei bekannten Apps mit Millionen Downloads sein kann. Angesichts der sensiblen Fitnessdaten, Körperscans und verknüpften Social-Media-Zugänge müssen Unternehmen Cloud-Sicherheit und API-Verwaltung deutlich ernster nehmen. Andernfalls bleibt den Nutzern nur die Hoffnung, dass ihre privaten Bilder nicht in falsche Hände geraten.
0 Antworten zu „Fitify-datalæk afslører 138.000 følsomme fremskridtsbilleder i cloud-brist“