Fitify-datainnbrudd avslører 138 000 sensitive fremgangsbilder i skylagring

Et alvorlig datalekk hos Fitify eksponerte over 373 000 brukerfiler, inkludert mer enn 138 000 fremgangsbilder, grunnet en ubeskyttet Google Cloud-lagringsbøtte. Hendelsen skaper betydelige personvernbekymringer for den populære treningsappen som har over 25 millioner brukere.

Ubebskyttet skylagring eksponerte private medier

Ifølge forskere ved Cybernews ble lekkasjen forårsaket av en offentlig tilgjengelig Google Cloud-bøtte eid av Fitify Workouts, utvikleren bak appen. Det var ikke nødvendig med passord eller sikkerhetsnøkler for å få tilgang til dataene.

Blant de 373 000 eksponerte filene var:

• 138 000 fremgangsbilder lastet opp av brukere som sporer vektnedgang eller kroppsendringer
• 206 000 profilbilder
• 6 000 kroppsskanningsfiler, inkludert bilder og AI-generert metadata
• 13 000 vedlegg fra meldinger med AI-trener

Mange av fremgangsbildene viste brukere i minimalt med klær, noe som gjør lekkasjen ekstra sensitiv. Brukerne antok trolig at disse bildene kun var private og delt med appens AI-funksjon.

Hardkodede nøkler avslører flere risikoer

Fitifys sikkerhetsproblemer stoppet ikke ved feilkonfigurert skylagring. Forskerne fant også hardkodede hemmeligheter i både utviklings- og produksjonsmiljøet til appen. Disse inkluderte:

• Google Client ID og Android Client ID
• Google API-nøkler
• Firebase-legitimasjon
• Facebook App ID og klienttoken
• Algolia API-nøkkel

Slike nøkler kunne gjort det mulig for angripere å utgi seg for å være gyldige app-installasjoner, få tilgang til brukerdata, manipulere innhold i skylagring eller hente data fra tredjepartstjenester som Algolia og Facebook.

Bekymringsfullt nok nevnte ikke Fitifys personvernerklæring at Algolia API-nøkkelen var eksponert. Ettersom Algolia ikke støtter selvhosting, håndteres eventuelle lagrede data av leverandøren eller dens partnere.

Selskapets respons og neste steg

Etter varsling fra Cybernews stengte Fitify den eksponerte lagringsinstansen. Selskapet har imidlertid ennå ikke gitt en offisiell uttalelse om omfanget av lekkasjen eller hvordan den håndteres.

Forskerne anbefaler en flertrinns tilnærming:

• Trekke tilbake lekkede nøkler og erstatte dem med sikkert lagrede hemmeligheter
• Gjennomgå eksponerte endepunkter for misbruk
• Oppdatere appen for å fjerne avhengighet av hardkodede nøkler
• Stramme inn tilganger til skylagring og ansattes rettigheter

Konklusjon

Fitify-lekkasjen viser hvor sårbart digitalt personvern kan være – selv i kjente apper lastet ned av millioner. Når sensitive treningsdata, kroppsskanninger og sosiale integrasjoner står på spill, må selskaper ta skylagring og nøkkelhåndtering på alvor. Inntil videre kan brukerne bare håpe at deres private bilder ikke havner i feil hender.