Fitify-läcka avslöjar 138 000 känsliga framstegsbilder i molnincident

Ett stort dataläckage hos fitnessappen Fitify har avslöjat över 373 000 användarfiler – däribland mer än 138 000 framstegsbilder – på grund av en osäkrad lagringshink i Google Cloud. Läckan väcker allvarliga integritetsfrågor för appens 25 miljoner användare världen över.

Osäkrad molnlagring blottade privata bilder

Läckan upptäcktes av forskare vid Cybernews och orsakades av en offentligt tillgänglig Google Cloud Bucket som tillhör Fitify Workouts, utvecklaren bakom appen. Varken lösenord eller säkerhetsnycklar krävdes för att få tillgång till filerna.

Bland de 373 000 exponerade filerna fanns:

• 138 000 framstegsbilder från användare som dokumenterat viktminskning eller kroppsförändringar
• 206 000 profilbilder
• 6 000 kroppsskanningsfiler med bilder och AI-genererad metadata
• 13 000 bifogade meddelanden från appens AI-coach

Många av framstegsbilderna togs i minimal klädsel, vilket gör läckan särskilt känslig. Användarna trodde sannolikt att bilderna endast delades privat med appens AI-coachfunktion.

Hårdkodade nycklar avslöjar ännu större risk

Fitifys säkerhetsbrister sträckte sig längre än bara felkonfigurerad molnlagring. Forskarna hittade även hårdkodade nycklar inbäddade i både utvecklings- och produktionsmiljöer. Dessa inkluderade:

• Google Client ID och Android Client ID
• Google API-nycklar
• Firebase-uppgifter
• Facebook App ID och Client Token
• Algolia API-nyckel

Dessa nycklar kan potentiellt användas av angripare för att imitera legitima appinstanser, komma åt användardata, manipulera molninnehåll eller hämta information från tredjepartstjänster som Algolia eller Facebook.

Särskilt oroande var att Fitifys integritetspolicy inte nämnde Algolia-nyckeln som läckt. Eftersom Algolia inte stöder självhosting hanteras användardata av leverantören själv eller dess partners.

Bolagets respons och nästa steg

Efter att Cybernews kontaktat dem, stängde Fitify ner den osäkra molninstansen. Företaget har dock ännu inte gått ut med något officiellt uttalande om omfattningen av läckan eller hur den hanteras.

Forskarna rekommenderar flera åtgärder:

• Återkalla alla läckta nycklar och ersätt dem med säkra, krypterade alternativ
• Genomför en fullständig säkerhetsrevision av exponerade endpoints
• Uppdatera appen för att ta bort alla hårdkodade hemligheter
• Förstärk åtkomstkontroll och behörigheter i molnlagringen

Slutsats

Dataintrånget hos Fitify visar hur bräcklig den digitala integriteten kan vara – även för välkända appar med miljontals nedladdningar. När personlig träningsdata, kroppsskanningar och socialt kopplade nycklar står på spel, måste företag ta molnsäkerhet och API-hantering på betydligt större allvar. Fram tills dess kan användare bara hoppas att deras känsliga bilder inte hamnar i fel händer.