Posté le septembre 14, 2021 à 12:01
PLUS DE 61 MILLIONS DE DONNÉES SUR LES TECHNOLOGIES PORTABLES ET LES SERVICES DE FITNESS DIVULGUÉES EN LIGNE
Une base de données non sécurisée contenant plus de 61 millions de données liées à des dispositifs portables et à des services de remise en forme a été exposée en ligne.
Dans un rapport publié lundi, il a été révélé que les données exposées appartiennent à la société GetHealth.
Les détails appartiennent à GetHealth
GetHealth est une entreprise de santé basée à New York qui s’occupe des wearables, des dispositifs médicaux et des applications. L’objectif de la firme est de fournir une « solution unifiée pour accéder aux données de santé et de bien-être. »
La plateforme utilise ces dispositifs technologiques pour avoir accès à des données relatives à la santé provenant de diverses sources. Parmi les sources dont l’entreprise a tiré ses informations de santé figurent Microsoft Band, Fitbit, Strava, Misfit Wearables et Google Fit.
Le 30 juin, l’équipe qui a fait la récente révélation a déclaré qu’une base de données avait été détectée en ligne et qu’aucun mot de passe ne la protégeait, ce qui la rendait susceptible d’être infiltrée par des hackers. Le rapport a révélé que plus de 61 millions d’enregistrements trouvés dans la base de données ont été exposés en ligne.
Certaines des informations exposées concernent des données sensibles sur les utilisateurs, telles que les noms, les données GPS, les dates de naissance, la taille, le poids et le sexe, entre autres.
Lorsque 20 000 enregistrements des données mises en ligne ont été analysés et vérifiés, il a été révélé que la plupart des données avaient été extraites de HealthKit et Fitbit d’Apple. Les chercheurs ont également ajouté que les détails avaient été écrits en texte clair, mais qu’il existait une identification chiffrée.
« La géolocalisation était structurée comme dans ‘Amérique/New York’ ‘Europe/Dublin’, et a révélé que les utilisateurs des dispositifs portables et des services de fitness étaient situés dans le monde entier. » Le rapport ajoute également que « les fichiers montrent également où les données sont stockées et un plan de la façon dont le réseau fonctionne depuis le backend et a été configuré. »
Les données ont été vérifiées comme appartenant à GetHealth, en raison des 16,71 références montrant que la société était le propriétaire des enregistrements. Dès que les données ont été analysées, GetHealth a été informé des résultats le jour même. GetHealth a rapidement réagi à l’affaire et les systèmes concernés ont été sécurisés en quelques heures.
Lorsque la société a été informée de ces découvertes, le directeur technique de GetHealth a contacté les chercheurs et les a informés que l’erreur de sécurité avait été corrigée. La société a également été reconnaissante des efforts déployés par les chercheurs pour s’assurer qu’aucun autre dommage ne soit causé.
« Nous ne savons pas combien de temps ces enregistrements ont été exposés ni qui d’autre a pu avoir accès à cet ensemble de données. Nous n’impliquons aucun acte répréhensible de la part de GetHealth, de ses clients ou de ses partenaires. Nous ne sous-entendons pas non plus que les données des clients ou des utilisateurs étaient en danger. Nous n’avons pas été en mesure de déterminer le nombre exact de personnes concernées avant que l’accès à la base de données ne soit interdit au public », indique le rapport.
Augmentation des attaques contre les trackers de fitness
Les cas de vulnérabilités sur les trackers de fitness se sont multipliés. Les trackers de fitness sont des dispositifs technologiques dont l’objectif est de comprendre et d’améliorer la qualité de vie en fournissant des informations opportunes sur toute menace pour la santé d’une personne.
Pour que l’appareil puisse recueillir des informations précises sur la santé, il doit avoir accès à des détails privés concernant la vie, la santé, les habitudes et autres de l’utilisateur.
Selon un rapport récent du Pew Research Center, environ 20 % des adultes vivant aux États-Unis ont accès à un dispositif portable ou à un tracker de fitness. Ces dispositifs stockent de nombreuses informations sur la santé des utilisateurs au fil des ans et présentent un risque important pour la vie privée des utilisateurs.
En outre, la plupart de ces dispositifs ne sont pas conçus pour être anonymes ; ils obtiennent plutôt des informations réelles pour créer des comptes d’utilisateur. Les utilisateurs de ces appareils doivent fournir des informations personnelles pour créer leur profil. Il est donc facile pour les hackers de déterminer l’origine des données en cas de violation.
L’utilisation des dispositifs portables soulève plusieurs problèmes de confidentialité. Tout d’abord, il n’existe pas de normes de confidentialité établies concernant ces dispositifs. Les entreprises peuvent donc avoir accès à ces informations et les utiliser à d’autres fins, comme la publicité et le marketing. Les données peuvent également être partagées avec des entreprises tierces qui en ont besoin à des fins professionnelles.
L’autre problème auquel sont confrontés ceux qui utilisent ces dispositifs est que, dans la mesure où il existe une « politique de fin d’utilisation », il n’y a aucune certitude quant à la durée pendant laquelle une entreprise conservera les données. Dans ce cas, les utilisateurs peuvent cesser d’utiliser le dispositif portable, mais leurs informations seront stockées indéfiniment dans la base de données. Cela signifie que leurs données privées seront toujours accessibles, même s’ils n’utilisent plus les dispositifs.
