Une base de données non sécurisée a exposé plus de 60 millions d’appareils portables de fitness

Une Base De Données Non Sécurisée A Exposé Plus De

Une patate chaude : avec de plus en plus d’appareils connectés à Internet chaque jour, stockant et partageant constamment des informations, la sécurité des données deviendra certainement une préoccupation constante. Ce cas donne un exemple de la façon dont le manque de soin avec les données sensibles peut faire augmenter les risques indéfiniment, car des millions de personnes ont été exposées simplement en portant des dispositifs de suivi pendant leurs séances d’entraînement.

Comme l’a rapporté le chercheur en cybersécurité Jeremiah Fowler sur WebsitePlanet, 61 millions d’utilisateurs d’appareils portables de fitness se sont retrouvés avec leurs données exposées en ligne, car une base de données centralisée contenant leurs informations a été trouvée non protégée.

Le propriétaire de la base de données exposée, selon les procédures d’analyse de Fowler et de son équipe, était GetHealth, une API présentée comme une « solution unifiée pour accéder aux données de santé et de bien-être à partir de centaines de dispositifs portables, d’appareils médicaux et d’applications ».

Une enquête plus approfondie a révélé que les données contenaient des informations potentiellement sensibles, notamment les noms des personnes, les dates de naissance, le poids, la taille, le sexe et même la géolocalisation. De plus, les chercheurs ont découvert que le flux de ces informations pouvait être retracé à des sources telles que Fitbit, Microsoft Band, Misfit Wearables, Google Fit et Strava, et que leurs utilisateurs venaient du monde entier. Tout cela était stocké en texte brut, tandis qu’un seul identifiant était crypté.

Une base de donnees non securisee a expose plus de

Après avoir confirmé la propriété des données, Fowler a contacté en privé GetHealth, dont la réponse à la notification a été rapide. L’entreprise, plus tard le même jour, a remercié le chercheur, affirmant que le problème avait été résolu.

On ne sait pas, cependant, pendant combien de temps les 16,71 Go de données des utilisateurs ont été conservés, ni même qui aurait pu avoir accès à la base de données pendant cette période.

WebsitePlanet met également en garde contre les dangers liés aux données de santé stockées dans les appareils portables : « Il est bien connu que le secteur de la santé connaît plus de violations de données que tout autre secteur. Selon un rapport réalisé par Trustwave, les données de santé peuvent se vendre jusqu’à 250 $ par enregistrement sur le marché noir ou sur le dark web. C’est une somme considérable par rapport aux enregistrements de cartes de crédit évalués à 5,40 $. »