FitMetrix sở hữu MindBody đã tiếp xúc hàng triệu hồ sơ người dùng - nhờ máy chủ không có mật khẩu

Khoa Học/Công Nghệ

FitMetrix, một công ty thể dục thể thao và công ty theo dõi hiệu suất thuộc sở hữu của phòng tập thể dục khổng lồ Mindbody, đã phơi bày hàng triệu hồ sơ người dùng vì nó để lại một số máy chủ của họ mà không có mật khẩu. Công ty xây dựng phần mềm theo dõi tập thể dục cho các phòng tập thể dục và các lớp học nhóm - như CrossFit và SoulCycle…

FitMetrix, một công ty thể dục thể thao và công ty theo dõi hiệu suất thuộc sở hữu của phòng tập thể dục khổng lồ Mindbody, đã phơi bày hàng triệu hồ sơ người dùng vì nó để lại một số máy chủ của họ mà không có mật khẩu.

Công ty xây dựng phần mềm theo dõi tập thể dục cho phòng tập thể dục và các lớp học nhóm - như CrossFit và SoulCycle - hiển thị nhịp tim và thông tin chỉ số thể dục khác cho các bài tập tương tác. FitMetrix đã được mua lại bởi phòng tập thể dục và dịch vụ lập kế hoạch chăm sóc sức khỏe Mindbody hồi đầu năm nay với giá 15,3 triệu đô la, theo một hồ sơ của chính phủ.

Tuần trước, một nhà nghiên cứu bảo mật đã tìm thấy ba máy chủ không được bảo vệ của FitMetrix làm rò rỉ dữ liệu khách hàng.

Không biết các máy chủ đã được tiếp xúc bao lâu, nhưng các máy chủ đã được lập chỉ mục bởi Shodan, một công cụ tìm kiếm các cổng và cơ sở dữ liệu mở, vào tháng Chín.

Các máy chủ bao gồm hai trong số các cá thể ElasticSearch giống nhau và một máy chủ lưu trữ - tất cả được lưu trữ trên Amazon Web Service - nhưng không ai được bảo vệ bằng mật khẩu, cho phép bất cứ ai biết nơi tìm cách truy cập dữ liệu trên hàng triệu người dùng.

Bob Diachenko, giám đốc nghiên cứu về nguy cơ mạng của Hacken.io, đã tìm thấy các cơ sở dữ liệu chứa 113,5 triệu bản ghi. Mỗi bản ghi chứa tên, giới tính, địa chỉ email, số điện thoại, ảnh tiểu sử, vị trí tập luyện chính của họ, địa chỉ liên hệ khẩn cấp và hơn thế nữa. Nhiều bản ghi không hoàn chỉnh đầy đủ.

Các máy chủ lưu trữ, được lưu trữ trong một thùng S3 của Amazon, lưu trữ hình ảnh hồ sơ người dùng, nhưng vẫn mở tại thời điểm viết. Vì lý do đó, chúng tôi không liên kết với nó.

Diachenko, người đã viết những phát hiện của mình, đã liên lạc với công ty qua địa chỉ email cách đây một tuần nhưng công ty chỉ đảm bảo máy chủ sau khi TechCrunch đạt được.

Jason Loomis, giám đốc an ninh thông tin của Mindbody nói: “Gần đây chúng tôi đã biết rằng một số dữ liệu nhất định liên quan đến công nghệ FitMetrix được lưu trữ trực tuyến có thể đã bị lộ diện công khai”. "Chúng tôi đã thực hiện các bước ngay lập tức để đóng lỗ hổng này", ông nói thêm. "Chỉ dẫn hiện tại là dữ liệu này bao gồm một tập hợp con người tiêu dùng do FitMetrix quản lý, được Mindbody mua lại vào tháng 2 năm 2018 và không bao gồm bất kỳ thông tin đăng nhập, mật khẩu, thông tin thẻ tín dụng hoặc thông tin sức khỏe cá nhân nào", ông nói.

Diachenko bác bỏ tuyên bố của Mindbody, nói rằng có một số thông tin y tế trong dữ liệu, dựa trên phân tích của ông về dữ liệu. TechCrunch cũng tìm thấy một số hồ sơ bao gồm chiều cao, trọng lượng và kích cỡ giày.

Khi được yêu cầu làm rõ, người phát ngôn của Mindbody, Jennifer Saxon sẽ không bình luận thêm.

Không biết có bao nhiêu người truy cập vào cơ sở dữ liệu, nhưng Diachenko nói rằng ông không phải là người đầu tiên tìm thấy cơ sở dữ liệu bị phơi nhiễm.

Một lưu ý tiền chuộc đã được chôn cất trong một trong các bảng của một scammer người tuyên bố đã tải về nội dung của cơ sở dữ liệu và sẽ chỉ khôi phục lại nó cho bitcoin. Nhưng kẻ lừa đảo không thành công và không xóa được dữ liệu. Mặc dù kẻ lừa đảo đã yêu cầu 0,1 bitcoin - một số $ 650 ở mức giá hiện tại - địa chỉ bitcoin của họ chỉ nhận được 0,13 bitcoin nhiều nhất.

Mindbody nói rằng nó sẽ “tuân thủ tất cả các nghĩa vụ pháp lý hiện hành” trong việc báo cáo việc tiếp xúc dữ liệu với chính quyền Mỹ và châu Âu.

Công ty cũng có thể phải đối mặt với hành động từ chính quyền châu Âu theo GDPR, quy định bảo vệ dữ liệu mới, có thể phạt tới bốn phần trăm doanh thu toàn cầu của mình trên toàn thế giới về các vi phạm dữ liệu và phơi nhiễm dữ liệu cẩu thả.

Có thể bạn quan tâm