Рубрики НовостиWTF

Все увидят ваш животик: фитнес-программа Fitify обнародовала 138 тыс. фото прогресса пользователей

Опубликовал Олексій Єрін
17.07.2025 20:22

Fitify / Google Play

Облачное хранилище фитнес-программы Fitify открыло для сети сотни тысяч файлов. Некоторые из них были фотографиями пользователей, которые они предпочли бы не распространять.

Сервис Fitify забыл защитить собственное облачное хранилище Google и таким образом вызвал свободный доступ до 373 тыс. накопленных файлов. 138 тыс. из них оказались частными фотографиями пользователей сервиса, в которых они фиксировали изменения своего тела в результате спортивных нагрузок. Обычно такие фото делаются с минимумом одежды, неудивительно, что утечка быстро привлекла внимание.

Известно, что 13 тысяч файлов было распространено через ИИ-тренер и еще 6 тысяч были обозначены как данные «3D-сканирования тела» с изображениями и некоторыми данными ИИ. Частные данные были доступны без паролей или ключей и еще хуже ситуация могла стать, если бы уязвимостью успели воспользоваться злоумышленники. Через «окно» появилась возможность получить доступ к еще более важным данным пользователей.

Но к счастью этого не произошло, исследовательская группа Cybernews, которая обнаружила уязвимость, быстро сообщила работникам Fitify о проблеме. После этого общий доступ к хранилищу был закрыт.

Пример открытых данных / Cybernews

Утечка показала, что данные с Fitify без каких-либо сложностей мог получить любой. Главной причиной оказалось отсутствие шифрования в режиме хранения. Еще компания предоставляет достаточно легкий доступ к такой важной информации, как Android Client ID, Google Client ID, Google API Key и многих других. И, например, зная первые два, можно с легкостью подделать легитимные экземпляры приложения и считать много данных пользователей, включая доступ к социальным сетям.

Пример, как выглядят важные ID / Сybernews

Также команда Cybernews провела дополнительное исследование, загрузила 156 тысяч различных приложений для iOS с Apple App Store (около 8% из всех доступных). В результате оказалось, что в 71% из них зафиксирована хотя бы одна утечка пользовательской информации. А средний показатель составил 5,2.

В итоге работники Cybernews заявили:

«Исследовав уязвимости, мы обнаружили учетные данные, которые потенциально могут быть использованы как доступ к данным клиентов и серверной инфраструктуры приложений. Также исследования показывают, что неправильно настроенное управление доступом к облаку, было не единственной ошибкой, допущенной разработчиками приложений. Многочисленные ключи API и конфиденциальные данные часто присутствовали во фронтенде приложения»

Для предотвращения вышеуказанных проблем, команда Cybernews рекомендует:

  • Настроить встроенные механизмы аутентификации облачных хранилищ так, чтобы доступ к ним был ограничен только для работников и систем, которые имеют право доступа к сохраненным данным.
  • Избавляться от скомпрометированных учетных данных и создавать новые. Надежно хранить их на серверах компании.
  • Просмотреть настройки контроля доступа для открытых конечных точек (endpoints).
  • Чаще проводить аудит.
  • Чаще обновлять приложения, чтобы они были совместимы с новой, более безопасной инфраструктурой.

Источник: Cybernews

Опубликовал Олексій Єрін
Теги FitifyБезопасностьЗдоровье и фитнесКібербезпека
17.07.2025 20:22