Plus de 60 millions d’appareils portables de fitness ont été exposés à cause d’une base de données qui n’était pas sécurisée.
Comme l’a rapporté le chercheur en cybersécurité Jeremiah Fowler sur WebsitePlanet, 61 millions d’utilisateurs d’appareils portables de fitness se sont retrouvés avec leurs données exposées en ligne, car une base de données centralisée contenant leurs informations a été trouvée non protégée.
Le propriétaire de la base de données exposée, selon les procédures d’analyse de Fowler et de son équipe, était GetHealth, une API présentée comme une « solution unifiée pour accéder aux données de santé et de bien-être à partir de centaines de dispositifs portables, d’appareils médicaux et d’applications ».
Une enquête plus approfondie a révélé que les données contenaient des informations potentiellement sensibles, notamment les noms des personnes, les dates de naissance, le poids, la taille, le sexe et même la géolocalisation. De plus, les chercheurs ont découvert que le flux de ces informations pouvait être retracé à des sources telles que Fitbit, Microsoft Band, Misfit Wearables, Google Fit et Strava, et que leurs utilisateurs venaient du monde entier. Tout cela était stocké en texte brut, tandis qu’un seul identifiant était chiffré.
Après avoir confirmé la propriété des données, Fowler a contacté en privé GetHealth, dont la réponse à la notification a été rapide. Plus tard le même jour, la société a remercié le chercheur, affirmant que le problème avait été résolu.
Cependant, on ne sait pas pendant combien de temps les 16,71 Go de données des utilisateurs ont été conservés, ni même qui aurait pu avoir accès à la base de données pendant cette période.
WebsitePlanet met également en garde contre les dangers liés aux données de santé stockées dans les appareils portables : « Il est bien connu que le secteur de la santé connaît plus de violations de données que tout autre secteur. Selon un rapport réalisé par Trustwave, les données de santé peuvent se vendre jusqu’à 250 $ par enregistrement sur le marché noir ou sur le dark web. C’est une somme considérable par rapport aux enregistrements de cartes de crédit évalués à 5,40 $. »