Рубрики НовиниWTF

Всі побачать ваш животик: фітнес-програма Fitify оприлюднила 138 тис. фото прогресу користувачів

Опублікував yerin
17.07.2025 20:13

Fitify / Google Play

Хмарне сховище фітнес-програми Fitify видкрило для мережі сотні тисяч файлів. Деякі з них були фотографіями користувачів, які б вони воліли не розповсюджувати.

Сервіс Fitify забув захистити власне хмарне сховище Google і таким чином спричинив вільний доступ до 373 тис. накопичених файлів. 138 тис. із них виявились приватними фотографіями користувачів сервісу, в яких вони фіксували зміни свого тіла у результаті спортивних навантажень. Зазвичай такі фото робляться із мінімумом одягу, не дивно, що витік швидко привернув увагу.

Відомо, що 13 тисяч файлів було розповсюджено через ШІ-тренер і ще 6 тисяч були позначені як дані «3D-сканування тіла» із зображеннями та деякими даними ШІ. Приватні дані були доступні без паролів, або ключів і ще гіршою ситуація могла стати, якби вразливістю встигли скористатись зловмисники. Через «вікно» з’явилась можливість отримати доступ до ще більш важливих даних користувачів.

Але на щастя цього не сталося, дослідницька група Cybernews, яка виявила вразливість, швидко повідомила працівникам Fitify про проблему. Після цього загальний доступ до сховища було закрито.

Приклад відкритих даних / Cybernews

Витік показав, що дані із Fitify без будь-яких складностей міг отримати будь-хто. Головною причиною виявилась відсутність шифрування в режимі зберігання. Ще компанія надає досить легкий доступ до такої важливої інформації, як Android Client ID, Google Client ID, Google API Key та багатьох інших. І, приклад, знаючи перших два, можна з легкістю підробити легітимні екземпляри застосунку та зчитати багато даних користувачів, включаючи доступ до соціальних мереж.

Приклад, як виглядають важливі ID / Сybernews

Також команда Cybernews провела додаткове дослідження, завантажила 156 тисяч різноманітних застосунків для iOS з Apple App Store (близько 8% з усіх доступних). В результаті виявилось, що у 71% із них зафіксовано хоча б один витік користувацької інформації. А середній показник склав 5,2.

У підсумку працівники Cybernews заявили:

«Дослідивши вразливості, ми виявили облікові дані, які потенційно можуть бути використані як доступ до даних клієнтів та серверної інфраструктури застосунків.Також дослідження показують, що неправильно налаштоване керування доступом до хмари, було не єдиною помилкою, допущеною розробниками програм. Численні ключі API та конфіденційні дані частенько були присутніми у фронтенді програми»

Для запобігання вищевказаних проблем, команда Cybernews рекомендує:

  • Налаштувати вбудовані механізми автентифікації хмарних сховищ так, щоб доступ до них був обмежений лише для працівників та систем, які мають право доступу до збережених даних.
  • Позбавлятись скомпрометованих облікових даних та створювати нові. Надійно зберігати їх на серверах компанії.
  • Переглянути налаштування контролю доступу для відкритих кінцевих точок (endpoints).
  • Частіше проводити аудит.
  • Частіше оновлювати застосунки, щоб вони були сумісними із новою, більш безпечною інфраструктурою.

Джерело: Cybernews

Опублікував yerin
Теги FitifyБезпекаЗдоров'я та фітнесКібербезпека
17.07.2025 20:13