在這個全民健身的時代，健身軟體竟淪為黑客們的「攻擊樂園」

FitMetrix健身軟體開發公司泄露119GB用戶數據

FitMetrix成立於2013年，是一家健身技術和性能跟蹤公司，主要為健身房和小組課程建立健身追蹤軟體，顯示心率及其他健身指標信息，以進行互動式鍛煉。根據一份政府文件顯示，該公司在今年早些時候已被總部位於美國加州聖路易斯奧比斯波的另一家健身房軟體開發公司Mindbody，以1530萬美元的價格收購。

上周，一名研究人員在3台未受保護的伺服器上發現了數百萬FitMetrix用戶的個人資料。目前尚不清楚這些伺服器究竟已經在線暴露了多久，但是根據研究人員的說法，這些伺服器早在9月份就已被Shodan（開放埠和資料庫搜索引擎）編入索引。

這些伺服器包含兩個相同的ElasticSearch實例和一個存儲伺服器，全部託管在Amazon Web Service上，但沒有一個受密碼保護，這也就意味著，任何知道該伺服器IP地址的人都可以隨意訪問大量的FitMetrix用戶個人資料。

Hacken.io公司網路風險研究主管Bob Diachenko發現，這些資料庫中共計包含1.135億條記錄，但目前並不清楚有多少用戶直接受到影響。據悉，FitMetrix通過這台伺服器暴露的不僅限於用戶的個人資料，還包括一些有關設施和其他數據點的信息，具體包括用戶的姓名、性別、出生日期、電子郵箱地址、電話號碼、健身地點以及緊急聯繫人等等。

在發現這組伺服器後，Diachenko曾多次嘗試通過電子郵件與Mindbody取得聯繫，但均沒有成功。不過，在相關媒體曝光該消息後，Mindbody已經採取了措施保護這組伺服器。

針對此事，Mindbody首席信息安全官Jason Loomis回應稱，

我們最近意識到，與在線存儲的FitMetrix技術相關的某些數據可能已被暴露。我們已經採取了措施來解決該問題。目前的跡象表明，這些數據的確包含了由FitMetrix管理的一部分消費者信息，這些數據已經於2018年2月被Mindbody收購，但並不包括所有登錄憑證、密碼、信用卡信息或個人健康信息。

不過，Diachenko否定了Loomis給出的說辭，因為Diachenko在對數據進行分析後發現，這些數據中存在「一些」用戶健康信息，甚至還包含幾項記錄，包括身高、體重和鞋碼，以及各類FitMetrix計劃指標等。

目前還不知道有多少人已經訪問了這組資料庫，但Diachenko肯定他絕不是第一個找到暴露資料庫的人。因為Diachenko在這組伺服器上發現了一封勒索信，似乎是由遠程攻擊者留下的。該攻擊者在勒索信中聲稱自己已經下載了資料庫的內容，並索要0.1比特幣（約650美元）來才能恢復其數據。但很顯然，詐騙者並沒有成功，且並未能刪除掉這些數據。

根據5月25日正式生效的歐盟《通用數據保護條例》相關規定，Mindbody可能將面臨歐洲當局給出的罰款處罰——違規最高罰金可達公司全球總收益的4%。

不過，在如今這種全民健身的風潮中，健身軟體中無疑涵蓋著非常豐富且有價值的個人信息，而這一現狀也成功吸引了攻擊者的目光。所以，很顯然，FitMetrix並不是今年以來第一家遭此命運的健身軟體公司，下面就帶大家一起了解一下今年以來發生的幾起嚴重的健身軟體數據泄露事件：

Strava健身軟體泄露美軍多處軍事基地

2018年1月，美國一款健身應用軟體（Strava）將用戶鍛煉數據在網路上公布，涉嫌泄露美國涉密軍事信息。

據悉，Strava是一款集健身和社交功能為一體的應用，用戶可以將自己運動時間、成績、軌跡等信息通過網路上傳至應用伺服器，與他人分享。

去年11月，Strava將其所有用戶數據做成「熱力地圖」在網路上公布，旨在展示用戶運動地點以及最受歡迎的跑步或騎行路線。然而，由於不少美軍現役軍人在使用這款應用，結果導致許多美軍基地的地理位置也在「熱力圖」上清晰地顯現出來，大量軍事基地方位遭到曝光。此外，不少士兵經常圍著一些特定建築或者路線慢跑，也間接暴露了基地規模以及建築物分布。

對此，國防部發言人曼寧表示，

我們會嚴肅對待這一事件。為了保證國防部僱員在美國本土和海外的安全，我們正在評估是否需要增加培訓，發布新指令或者制定新政策。科技迅速發展要求政策進行相應修改，以保障安全。我們建議國防部工作人員在使用網路科技時適用嚴格的隱私設定。

Under Armour健身應用泄露1.5億用戶信息

2018年3月，美國體育運動裝備品牌Under Armour旗下的健康和健身追蹤應用MyFitnessPal遭到黑客攻擊，大約有1.5億用戶受到影響。據悉，受影響的信息包括用戶名、電子郵件地址和哈希密碼。

PumpUp健身應用泄露600萬用戶健康數據

2018年6月，位於加拿大安大略省的PumpUp公司發布聲明稱，旗下同名社交健康追蹤應用無意中暴露了用戶的隱私和敏感數據，包括用戶之間發送的健康信息和私人消息。

據悉，PumpUp公司開發的社交健康追蹤應用PumpUp支持Android和iOS平台，並聲稱在全球擁有超過600萬用戶。通過該應用，用戶可以分享自拍和健康秘訣、制定和保存定製式鍛煉計劃以及從健身教練和其他用戶那裡獲取建議。另一方面，它也可以被用來追蹤用戶活動，如消耗的熱量、鍛煉時間、鍛煉進展等。

以上所有這些數據都被存儲在一個核心的後端伺服器，並託管在亞馬遜的雲端。然而，安全研究員Oliver Hough發現，該伺服器並沒有設置密碼，這使得任何人都能夠查看都有誰在進行登錄、誰在實時發送消息以及消息的內容。

研究人員指出，暴露的數據主要包括用戶的電子郵箱地址、出生日期、性別和用戶所在位置的地理信息，以及用戶的生物特徵、鍛煉和活動目標、用戶頭像，還有用戶是否已經被屏蔽、是否對應用進行了評分。此外，該應用還暴露了用戶提交的健康信息，如身高、體重、咖啡因和酒精攝入量、吸煙頻率、健康問題、藥物和受傷處等。

Polar健身軟體泄露6000多名特工信息

2018年7月，荷蘭安全研究人員發現，供用戶記錄健身數據的芬蘭手機應用軟體Polar，竟意外泄露69國軍事及情報人員的敏感資料。

據悉，Polar將2014年以來收集到的用戶運動數據繪製成電子地圖並公布在其網站上，瀏覽者只需找到感興趣的「敏感地點」，查看附近運動用戶的個人信息，再查詢該用戶所有運動歷史，通過多條運動路線的交叉，即可獲得其住址等隱私信息，最後對用戶註冊信息、家庭住址、社交平台等信息加以關聯分析，就能確定其真實身份。

根據荷蘭新聞網站DeCorrespondent調查，利用Polar程序中的活動地圖，他們總共發現了69個不同國家的6460名軍事和情報機構的用戶，並準確追蹤到其姓名、家庭地址、有幾個女兒、妻子在哪裡工作，以及他們的愛好都是什麼等信息。

就這樣，情報人員變幻莫測的行蹤和機密行動在Polar上一覽無餘，成了共享信息，就連美國國家安全局也毫不例外地「中招」了。目前，Polar已經暫停了其全球活動地圖功能。

總結

隨著大數據和移動應用時代的到來，機密的泄露似乎已經成了防不勝防的問題。而這一系列的事情都在警示我們必須認識到數字科技帶來的後果，科技使越來越多的事情成為可能，我們卻必須提高安全性和敏感性來適應其負面效應。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！