Фитнес-приложение «забыло» в Сети данные миллионов пользователей

Обнаружена утечка информации пользователей популярного фитнес-приложения PumpUp. Помимо таких личных данных, как e-mail, имя, пол, возраст и местоположение, на открытом облачном сервере Amazon хранились сведения о здоровье пользователей, переписка с тренерами и записи о тренировках, сообщает ZDNet.

Приложение PumpUp, разработанное в Канаде для операционных систем Android и iOS, насчитывает более 6 млн пользователей. По сути приложение представляет сообщество любителей фитнеса и спортсменов – они могут получать советы тренеров, вносить информацию о занятиях и обмениваться личными сообщениями с единомышленниками.

Механизм утечки был классическим для облачных сред: компания забыла защитить паролем данные, хранящиеся на сервере Amazon. Это позволяло кому угодно в режиме реального времени просматривать потоки сообщений пользователей.

Кроме персональных данных, относящихся к самому фитнес-приложению, скомпрометированными оказались отдельные токены Facebook, что подвергает риску многие учетные записи в этой социальной сети. В некоторых случаях обнаружена утечка незашифрованных данных платежных карт: номера, сроки действия, коды CVV.

Неизвестно, как долго данные на сервере оставались незащищенными. Но даже после сообщения об утечке, поступившего в конце мая, компания не спешила ставить хранилище под защиту. Журналисты ZDNet больше недели безуспешно пытались связаться по электронной почте с директором PumpUp, несколькими сотрудниками, акционерами и службой техподдержки клиентов. Судя по всему, в конечном итоге сервер был защищен.

Напомним, что ранее в 2018 г. были скомпрометированы записи более 150 млн пользователей популярного фитнес-приложения MyFitnesPal. Хакеры украли адреса электронной почты, логины и зашифрованные пароли подписчиков.