Sikkerhet

Brukerdata fra Fitbit og Healthkit lå åpent tilgjengelig på nett

Over 60 millioner rader med brukeres navn, fødselsdato, høyde og vekt lå eksponert i en usikret database på nett.

Brukerprofilene som lå åpent inneholdt både persondata og helseopplysninger
Brukerprofilene som lå åpent inneholdt både persondata og helseopplysninger (Skjermbilde: websiteplanet )

Over 60 millioner rader med brukeres navn, fødselsdato, høyde og vekt lå eksponert i en usikret database på nett.

Treningsapper og treningsklokker kan brukes anonymt, men appene oppfordrer gjerne brukerne til å lage profiler for å følge med på egen utvikling og helse.

Det gjør det lett å overføre egne data når du bytter dings eller app, og enkelt å identifisere deg i tilfelle datalekkasje.

I sommer oppdaget Jeremiah Fowler og hans kolleger i Website Planet at slike data lå åpent tilgjengelig på nett. Fowler har skrevet en rapport om saken, som senere ble omtalt av zdnet.com.

Navn og helseopplysninger i klartekst

Det var 30. juni i år Website Planet oppdaget en database med over 61 millioner rader der brukeres navn, fødselsdato, vekt, høyde, kjønn og GPS-logger lå i klartekst, knyttet til en ID som så ut til å være kryptert. Dataene kom fra treningsapper og smartklokker, og brukere over hele verden.

Både fullt navn, fødselsdato og bosted lå åpent tilgjengelig i databasen Skjermbilde: websiteplanet

Fitbit og Apples Healthkit så ut til å stå for de største datamengdene i databasen. 

Databasen, som var både ukryptert og uten passordbeskyttelse, tilhører Healthget, et New York-basert selskap som tilbyr tilgang til helse- og treningsdata på tvers av smartklokker, apper og nettsider. 

Jeremiah Fowler i Website Planet kontaktet straks Healhget som skal ha takket for hjelpen og i løpet av få timer rettet feilkonfigurasjonen som var årsaken til lekkasjen. Det er usikkert hvor lenge dataene har ligget åpent tilgjengelig. 

Feilkonfigurasjon

Digi.no har tidligere skrevet om problemer med feilkonfigurasjon av skytjenester som fører til at sensitive data blir liggende åpent tilgjengelig på nett. 

En undersøkelse av Android-apper viste at data fra en rekke store apper lå åpent tilgjengelig for uvedkommende gjennom feilkonfigurerte skytjenester. Alt fra personlige tekstmeldinger og skjermbilder til kontaktinformasjon og posisjonsdata har vært tilgjengelig på denne måten.  

Kan misbrukes

Selv om datasettet ikke inneholder opplysninger om kredittkort eller personnummer, er det absolutt data som kan misbrukes, mener Jeremiah Fowler. 

“Folk flest tror kanskje ikke at kriminelle er opptatt av hvor mange skritt du har gått eller hvor lenge du sover, men det er en tabbe å ignorere hvordan dataene dine blir brukt eller delt” skrev Fowler i rapporten. 

Han understreker at selv om en enkel skritteller nok er harmløs, samler mange helseapper data om hjerterytme, kroppsmasseindeks, søvnmønstre og mye mer. Ettersom teknologien utvikles, og helseapper får tilgang til data om millioner av mennesker, vil det være mulig å lage ganske nøyaktige bilder av enkeltindivider og deres helse.

Denne informasjonen kan brukes til å utføre angrep som svindel, utpressing og phishing for å få ut mer enda mer helseinformasjon, mener Fowler. 

Kommentarer (0)

Kommentarer (0)
Til toppen