在如今這種全民健身的風(fēng)潮中，健身軟件中無(wú)疑涵蓋著非常豐富且有價(jià)值的個(gè)人信息，而這一現(xiàn)狀也成功吸引了攻擊者的目光。下面就帶大家一起了解一下今年以來(lái)發(fā)生的幾起嚴(yán)重的健身軟件數(shù)據(jù)泄露事件：

FitMetrix健身軟件開發(fā)公司泄露119GB用戶數(shù)據(jù)
FitMetrix是一家健身技術(shù)和性能跟蹤公司，主要為健身房和小組課程建立健身追蹤軟件，顯示心率及其他健身指標(biāo)信息，以進(jìn)行交互式鍛煉。上周，一名研究人員在3臺(tái)未受保護(hù)的服務(wù)器上發(fā)現(xiàn)了數(shù)百萬(wàn)FitMetrix用戶的個(gè)人資料。目前尚不清楚這些服務(wù)器究竟已經(jīng)在線暴露了多久。據(jù)悉，F(xiàn)itMetrix通過(guò)這臺(tái)服務(wù)器暴露的不僅限于用戶的個(gè)人信息，還包括一些有關(guān)設(shè)施和其他數(shù)據(jù)點(diǎn)的信息，具體包括用戶的姓名、性別、出生日期、電子郵箱地址、電話號(hào)碼、健身地點(diǎn)以及緊急聯(lián)系人等等，目前還不知道有多少人已經(jīng)訪問(wèn)了這組數(shù)據(jù)庫(kù)。

Strava健身軟件泄露美軍多處軍事基地
Strava是一款集健身和社交功能為一體的應(yīng)用，用戶可以將自己運(yùn)動(dòng)時(shí)間、成績(jī)、軌跡等信息通過(guò)網(wǎng)絡(luò)上傳至應(yīng)用服務(wù)器，與他人分享。2018年1月，將用戶鍛煉數(shù)據(jù)在網(wǎng)絡(luò)上公布，涉嫌泄露美國(guó)涉密軍事信息。

去年11月，Strava將其所有用戶數(shù)據(jù)做成“熱力地圖”在網(wǎng)絡(luò)上公布，旨在展示用戶運(yùn)動(dòng)地點(diǎn)以及最受歡迎的跑步或騎行路線。然而，由于不少美軍現(xiàn)役軍人在使用這款應(yīng)用，結(jié)果導(dǎo)致許多美軍基地的地理位置也在“熱力圖”上清晰地顯現(xiàn)出來(lái)，大量軍事基地方位遭到曝光。

Under Armour健身軟件泄露1.5億用戶信息
2018年3月，美國(guó)體育運(yùn)動(dòng)裝備品牌Under Armour旗下的健康和健身追蹤應(yīng)用MyFitnessPal遭到黑客攻擊，大約有1.5億用戶受到影響。據(jù)悉，受影響的個(gè)人信息包括用戶名、電子郵件地址和哈希密碼。

PumpUp健身軟件泄露600萬(wàn)用戶健康數(shù)據(jù)
2018年6月，位于加拿大安大略省的PumpUp公司發(fā)布聲明稱，旗下同名社交健康追蹤應(yīng)用無(wú)意中暴露了用戶的隱私和敏感數(shù)據(jù)，包括用戶之間發(fā)送的健康信息和個(gè)人信息。該應(yīng)用用戶可以分享自拍和健康秘訣、制定和保存定制式鍛煉計(jì)劃以及從健身教練和其他用戶那里獲取建議。另一方面，它也可以被用來(lái)追蹤用戶活動(dòng)，如消耗的熱量、鍛煉時(shí)間、鍛煉進(jìn)展等。

以上所有這些數(shù)據(jù)都被存儲(chǔ)在一個(gè)核心的后端服務(wù)器，并托管在亞馬遜的云端。然而，安全研究員發(fā)現(xiàn)，該服務(wù)器并沒有設(shè)置密碼，這使得任何人都能夠查看都有誰(shuí)在進(jìn)行登錄、誰(shuí)在實(shí)時(shí)發(fā)送消息以及消息的內(nèi)容。暴露的數(shù)據(jù)主要包括用戶的電子郵箱地址、出生日期、性別和用戶所在位置的地理信息，以及用戶的生物特征、鍛煉和活動(dòng)目標(biāo)、用戶頭像，還有用戶是否已經(jīng)被屏蔽、是否對(duì)應(yīng)用進(jìn)行了評(píng)分。此外，該應(yīng)用還暴露了用戶提交的健康信息，如身高、體重、咖啡因和酒精攝入量、吸煙頻率、健康問(wèn)題、藥物和受傷處等。

Polar健身軟件泄露6000多名特工信息
2018年7月，荷蘭安全研究人員發(fā)現(xiàn)，供用戶記錄健身數(shù)據(jù)的芬蘭手機(jī)應(yīng)用軟件Polar，竟意外泄露69國(guó)軍事及情報(bào)人員的敏感資料。Polar將2014年以來(lái)收集到的用戶運(yùn)動(dòng)數(shù)據(jù)繪制成電子地圖并公布在其網(wǎng)站上，瀏覽者只需找到感興趣的“敏感地點(diǎn)”，查看附近運(yùn)動(dòng)用戶的個(gè)人信息，再查詢?cè)撚脩羲羞\(yùn)動(dòng)歷史，通過(guò)多條運(yùn)動(dòng)路線的交叉，即可獲得其住址等隱私信息，最后對(duì)用戶注冊(cè)信息、家庭住址、社交平臺(tái)等信息加以關(guān)聯(lián)分析，就能確定其真實(shí)身份。

隨著大數(shù)據(jù)和移動(dòng)應(yīng)用時(shí)代的到來(lái)，信息的泄露似乎已經(jīng)成了防不勝防的問(wèn)題。而這一系列的事情都在警示我們必須認(rèn)識(shí)到數(shù)字科技帶來(lái)的后果，科技使越來(lái)越多的事情成為可能，我們卻必須提高安全性和敏感性來(lái)適應(yīng)其負(fù)面效應(yīng)。

ice

收藏 海報(bào)分享