Фитнес-приложение Fitify, установленное более 25 миллионов раз, допустило серьёзную утечку данных: его открытое хранилище в облаке Google оказалось доступным без пароля. Исследователи из Cybernews обнаружили, что в нём хранилось 373 000 файлов, в том числе 138 000 прогресс-фото пользователей, часто сделанных в нижнем белье или с минимумом одежды.
Хранилище содержало:
- 206 000 аватарок пользователей
- 138 000 фото с прогрессом занятий
- 13 000 вложений из чатов с ИИ-коучем
- 6000 3D-сканов тела с данными о составе тела и осанке
Fitify утверждает, что данные шифруются «во время передачи», однако фото лежали в открытом виде, без авторизации и какой-либо защиты. После обращения журналистов, компания закрыла доступ, но уязвимость оставалась открытой длительное время.
Но, проблемы не ограничились хранилищем. Внутри кода iOS-приложения нашли жёстко прописанные ключи от серверов Google, Firebase, Facebook* и Algolia. Эти ключи позволяют:
- Подделывать легальные копии приложения
- Получать доступ к облачным данным пользователей
- Потенциально вытаскивать социальные профили через связку с Facebook*
Среди утёкших данных — ключи и ID из продакшен-окружения, включая Google API Key, Firebase URL, Facebook Client Token и другие.
- Прогресс-фото и 3D-сканы часто делаются в обнажённом виде
- Злоумышленники могли загрузить вирусы в облако, имитируя легальный доступ
- Утечка ключей из кода могла открыть бэкэнд и дать доступ к другим данным пользователей
Конечно, команда Fitify закрыла хранилище, но не комментирует ситуацию официально. Эксперты советуют:
- Отозвать все открытые ключи
- Перевести систему на защищённую инфраструктуру
- Провести аудит и оповестить пользователей об утечке
Fitify стал примером того, как даже популярные и активно скачиваемые приложения могут допускать грубые ошибки в безопасности, подвергая риску конфиденциальные данные миллионов людей.
Ещё по теме:
- Скутер быстрее Tesla: британцы представили 100-мильный «The Turbo»
- Китайские разработчики увеличили рекламные инвестиции в RuStore в 10 раз
- На «Госуслугах» появится цифровой профиль каждого жителя России в возрасте до 35 лет
