Proč byl MyFitnessPal hacknut? Vysvětlení úniku 150 milionů účtů

V únoru 2018 došlo k narušení systémů MyFitnessPal, během něhož byly ukradeny údaje o účtech přibližně 150 milionů uživatelů. Uživatelé, e-mailové adresy a hashované hesla – všechno bylo kompromitováno. V té době šlo o jeden z deseti největších úniků dat v historii. Společnost objevila únik až v březnu 2018, což znamená, že útočníci měli přístup k uživatelským datům přibližně měsíc, než si toho někdo všiml.

Pokud jste používali MyFitnessPal před březnem 2018, vaše data byla téměř jistě součástí tohoto úniku. A pokud se stále ptáte, proč se aplikace pro sledování kalorií stala cílem jednoho z největších hacků, odpověď odhaluje nepříjemné pravdy o tom, jak aplikace pro zdraví a fitness nakládají s vašimi daty.

Tento článek vysvětluje, co se přesně stalo, jaká data byla odhalena, co nebylo, zda je MyFitnessPal dnes bezpečné používat a proč by ochrana soukromí zdravotních dat měla být rozhodujícím faktorem při výběru aplikace pro výživu.

Co se stalo při úniku dat MyFitnessPal?

Zde je časová osa událostí, jak se vyvíjely:

Únik: Únor 2018

Na konci února 2018 získala neoprávněná osoba přístup k datům uživatelských účtů MyFitnessPal. Přesná metoda vniknutí nebyla nikdy plně zveřejněna. Co je známo, je to, že útočník dokázal extrahovat obrovský dataset obsahující informace o účtech přibližně 150 milionů uživatelů.

V té době byl MyFitnessPal ve vlastnictví společnosti Under Armour, která aplikaci zakoupila v roce 2015 za 475 milionů dolarů. Under Armour byla odpovědná za bezpečnost infrastruktury MyFitnessPal.

Objevení: 25. března 2018

Bezpečnostní tým MyFitnessPal identifikoval únik 25. března 2018 – přibližně čtyři týdny po vniknutí. Čtyřtýdenní mezera mezi únikem a detekcí není pro úniky dat tohoto rozsahu neobvyklá, ale znamená to, že útočník měl týdny neodhalený přístup k uživatelským datům.

Veřejné oznámení: 29. března 2018

Under Armour veřejně oznámila únik 29. března 2018, jen čtyři dny po jeho objevení. Společnost informovala postižené uživatele prostřednictvím e-mailu a zpráv v aplikaci a vyžadovala resetování hesel pro všechny účty.

Důsledky

Akcie Under Armour klesly přibližně o 3,8 % v následujících dnech po oznámení. Únik přispěl k rostoucím obavám o digitální fitness strategii Under Armour a náklady na udržování obrovské databáze uživatelů. O dva roky později prodala Under Armour MyFitnessPal společnosti Francisco Partners za 345 milionů dolarů – o 130 milionů méně, než byla původní nákupní cena.

Jaká data byla odhalena při hacku MyFitnessPal?

Pochopení toho, co bylo kompromitováno – a co ne – je důležité pro posouzení rizika.

Kompromitovaná data

• Uživatelská jména. Účetní názvy používané pro přihlášení do MyFitnessPal.
• E-mailové adresy. E-mailové adresy spojené s každým účtem.
• Hashovaná hesla. Hesla nebyla uložena v prostém textu. Byla hashována pomocí bcrypt, silného hashovacího algoritmu. Nicméně některá hesla byla hashována pomocí SHA-1, slabšího algoritmu, který je náchylnější k prolomení.

Data, která nebyla kompromitována (podle Under Armour)

• Platební informace. Under Armour uvedla, že data o platebních kartách nebyla ovlivněna, protože byla shromažďována a zpracovávána odděleně.
• Identifikátory vydané vládou. Čísla sociálního zabezpečení, čísla řidičských průkazů a podobné identifikátory nebyly MyFitnessPalem uloženy, a proto nebyly odhaleny.
• Podrobné zdravotní údaje. Under Armour uvedla, že únik zahrnoval údaje o přihlašovacích údajích, nikoli údaje o potravinovém deníku, váhové záznamy nebo nutriční informace uložené v aplikaci.

Proč na tom záleží, i když byla odhalena "jen" e-mailová a hesla

Je lákavé únik dat bagatelizovat jako "jen" uživatelská jména a hesla. Skutečný dopad tohoto druhu úniku dat je však značný:

• Útoky pomocí kradených přihlašovacích údajů. Mnoho lidí používá stejná hesla napříč různými službami. Útočníci, kteří prolomili hashovaná hesla, by je mohli použít k přístupu k dalším účtům – e-mailovým, bankovním, sociálním médiím, nákupním – kde byla použita stejná kombinace e-mailu a hesla.
• Phishingové kampaně. S 150 miliony e-mailových adres potvrzených jako spojené se zdravotní a fitness aplikací měli útočníci cílený seznam pro phishingové e-maily týkající se zdraví, fitness, doplňků a diety. Tyto e-maily mohly být velmi přesvědčivé, protože útočník věděl, že příjemce používal aplikaci pro sledování kalorií.
• Data prodaná na dark webu. Ukradená data MyFitnessPal se objevila na tržištích dark webu. V roce 2019 byla kolekce kompromitovaných databází včetně dat MyFitnessPal nabízena k prodeji za přibližně 20 000 dolarů v kryptoměně.

Proč byl MyFitnessPal cílem?

Aplikace pro sledování kalorií se může zdát jako neobvyklý cíl pro hackery ve srovnání s bankami nebo maloobchodníky. Existují však konkrétní důvody, proč byl MyFitnessPal pro útočníky atraktivní.

Rozsah uživatelské základny

S více než 150 miliony účtů v té době měl MyFitnessPal jednu z největších uživatelských databází jakékoli spotřebitelské aplikace. Pro útočníky zaměřené na krádež přihlašovacích údajů činil obrovský objem e-mailových a heslových kombinací vysokou hodnotu cíle bez ohledu na to, co aplikace sama dělala.

Zdravotní data mají jedinečnou hodnotu

Zdravotní a fitness data jsou v datové ekonomice stále cennější. Informace o tom, co lidé jedí, kolik váží, jaké mají fitness cíle a jaké mají stravovací vzorce, mohou být využity pro cílenou reklamu, profilování pojištění a sociální inženýrství. I když Under Armour uvedla, že data o potravinovém deníku nebyla při úniku v roce 2018 kompromitována, samotná existence obrovské databáze zdravotních dat činí platformu cílem.

Bezpečnost nebyla prioritou

Under Armour byla společnost zabývající se sportovním oblečením, nikoli technologií nebo bezpečností. Když v roce 2015 získala MyFitnessPal, zaměřila se na růst uživatelské základny a integraci aplikace do fitness ekosystému Under Armour. Investice do bezpečnostní infrastruktury nebyla prioritou.

Použití SHA-1 hashování pro některá hesla je výmluvným detailem. SHA-1 byl považován za kryptograficky slabý již léta před únikem v roce 2018. Nejlepší praxe doporučovaly bcrypt nebo podobné silné hashovací algoritmy. Skutečnost, že některá hesla MyFitnessPal byla stále hashována pomocí SHA-1, naznačuje, že bezpečnostní vylepšení nebyla prioritizována.

Zlepšila se bezpečnost MyFitnessPal od úniku?

To je otázka, na kterou současní a potenciální uživatelé potřebují odpověď. Stručná odpověď: MyFitnessPal provedl vylepšení, ale historie vlastnictví aplikace a obchodní model vyvolávají trvalé otázky.

Co se změnilo po úniku

Po úniku v roce 2018 MyFitnessPal zavedl několik bezpečnostních vylepšení:

• Povinné resetování hesel pro všechny postižené účty
• Zvýšené monitorování pro neoprávněný přístup
• Migrace na silnější hashovací algoritmy pro hesla
• Dvoufaktorová autentizace byla nakonec přidána jako volba

Co se nezměnilo

Navzdory těmto vylepšením zůstává několik strukturálních obav:

• Žádná end-to-end šifrování pro zdravotní data. MyFitnessPal ukládá data o potravinovém deníku, váhové záznamy a nutriční informace na svých serverech. Tato data nejsou end-to-end šifrována, což znamená, že společnost (a jakýkoli útočník, který získá přístup na server) je může číst.
• Nový vlastník s jinými prioritami. Francisco Partners, soukromá investiční firma, která v roce 2020 získala MyFitnessPal, se zaměřuje na generování příjmů. Investice do bezpečnosti soutěží s dalšími prioritami v tomto modelu.
• Shromažďování dat řízené reklamou. Bezplatná verze MyFitnessPal je podporována reklamou. Aplikace podporované reklamou inherentně shromažďují více uživatelských dat, aby mohly poskytovat cílené reklamy. Větší shromažďování dat znamená větší riziko při potenciálním úniku.
• Žádné veřejné bezpečnostní audity. MyFitnessPal nezveřejňuje výsledky nezávislých bezpečnostních auditů. Uživatelé musí důvěřovat tvrzením společnosti o zlepšení bezpečnosti bez ověření třetími stranami.

Proč je ochrana soukromí zdravotních dat důležitá?

Pokud sledujete, co jíte, kolik vážíte, vaše tělesné míry, fitness cíle a stravovací vzorce v aplikaci, vytváříte podrobný zdravotní profil. Tato data jsou citlivější, než si mnozí lidé uvědomují.

Zdravotní data jsou jedinečně osobní

Váš potravinový deník odhaluje mnohem více než jen počty kalorií. Odhaluje zdravotní stavy (sledování potravin pro řízení diabetu nebo onemocnění ledvin), vzorce duševního zdraví (přejídání, omezení, emocionální jedení), reprodukční stav (změny stravy související s těhotenstvím), náboženské praktiky (vzorce půstu), socioekonomické informace (výběr potravin odráží úroveň příjmu) a další.

Tato data nechcete, aby byla odhalena při úniku, prodána datovým brokerům nebo použita pro profilování pojištění.

Ochrana soukromí zdravotních dat je rostoucím právním problémem

Regulace týkající se ochrany soukromí zdravotních dat se po celém světě zpřísňují. GDPR EU poskytuje silnou ochranu pro zdravotně související data. V USA chrání HIPAA lékařské záznamy, ale nezahrnuje data dobrovolně zadaná do spotřebitelských aplikací jako MyFitnessPal. To vytváří mezeru, kde má vysoce citlivé zdravotní informace méně právní ochrany než vaše lékařské záznamy.

Obchodní model je důležitý

Jak společnost vydělává peníze přímo ovlivňuje, jak nakládá s vašimi daty. Aplikace, které se spoléhají na příjmy z reklamy, mají finanční motivaci shromažďovat co nejvíce uživatelských dat a sdílet je s reklamními partnery. Aplikace, které se spoléhají na předplatné, mají finanční motivaci chránit uživatelská data, protože jejich příjmy pocházejí z důvěry uživatelů, nikoli z monetizace dat.

Toto rozlišení je zásadní při výběru zdravotní aplikace.

Jak hodnotit bezpečnost dat v aplikaci pro výživu

Pokud vás únik MyFitnessPal přiměl zamyslet se nad tím, kde ukládáte svá zdravotní data, zde je to, na co se zaměřit při hodnocení alternativ:

Klíčové otázky týkající se bezpečnosti a soukromí

Faktor	Na co se zaměřit	Červená vlajka
Obchodní model	Na bázi předplatného, žádné reklamy	Bezplatná verze podporovaná reklamou se sdílením dat
Šifrování dat	End-to-end šifrování pro zdravotní data	Žádné šifrování nebo pouze serverové
Ochrana soukromí	Jasná, konkrétní, snadno čitelná	Nejasný jazyk o "partnerech" a "třetích stranách"
Odstranění dat	Snadné trvalé odstranění všech vašich dat	Žádný jasný proces odstranění
Sdílení s třetími stranami	Minimální nebo žádné sdílení dat s třetími stranami	Data sdílena s inzerenty nebo makléři
Bezpečnostní audity	Pravidelné nezávislé bezpečnostní audity	Žádné veřejné informace o auditech
Historie úniků	Čistý záznam nebo transparentnost ohledně minulých incidentů	Historie úniků s špatným zveřejněním
Umístění dat	Servery v jurisdikcích se silnými zákony o ochraně soukromí	Žádné informace o umístění dat

Jak Nutrola přistupuje k ochraně soukromí dat

Nutrola je postavena na modelu předplatného začínajícím na €2.50 měsíčně s nulovými reklamami na všech cenových úrovních. To je zásadní rozdíl od aplikací podporovaných reklamou, jako je bezplatná verze MyFitnessPal. Když nejsou žádné reklamy, není žádná motivace shromažďovat uživatelská data pro reklamní účely. Váš potravinový deník, váhové záznamy a nutriční data existují, aby sloužily vám, nikoli k profilování pro inzerenty.

Nutrola neprodává uživatelská data třetím stranám. Příjmy aplikace pocházejí výhradně z předplatného, což znamená, že obchodní model je v souladu s ochranou soukromí uživatelů, nikoli proti ní. Když společnost vydělává peníze tím, že udržuje uživatele spokojené a důvěřující, má všechny důvody chránit jejich data. Když společnost vydělává peníze monetizací uživatelských dat prostřednictvím reklamy, motivace směřují opačným směrem.

Srovnání: MyFitnessPal vs Nutrola z hlediska ochrany soukromí a funkcí

Faktor	MyFitnessPal	Nutrola
Historie velkého úniku dat	Ano (150M účtů, 2018)	Ne
Bezplatná verze podporovaná reklamou	Ano (silné reklamy)	Ne (nulové reklamy na všech úrovních)
Model příjmů	Předplatné + reklama	Pouze předplatné
Cena	Zdarma (omezená) / 79,99 USD ročně	Od €2.50 měsíčně
Sledované živiny	~6 spolehlivě	100+
Databáze potravin	14M+ crowdsourced záznamů	1.8M+ ověřených záznamů
AI foto logování	Ne	Ano
Hlasové logování	Ne	Ano
Skenování čárových kódů	Pouze prémiové	Ano (všichni uživatelé)
Apple Watch + Wear OS	Základní Apple Watch pouze	Podporovány obě
Import receptů	Ano	Ano (s plným nutričním rozborem)
Podporované jazyky	20+	9

Co byste měli udělat, pokud byla vaše data v úniku MyFitnessPal?

Pokud jste měli účet MyFitnessPal před březnem 2018, vaše data byla pravděpodobně kompromitována. Zde je, co byste měli udělat, pokud jste to ještě neudělali:

1. Změňte své heslo MyFitnessPal, pokud jste to od úniku ještě neudělali. Použijte silné, jedinečné heslo.
2. Změňte hesla na jakékoli jiné službě, kde jste použili stejnou e-mailovou adresu a heslo jako váš účet MyFitnessPal. To je nejdůležitější krok pro prevenci útoků pomocí kradených přihlašovacích údajů.
3. Povolte dvoufaktorovou autentizaci na MyFitnessPal a každé další službě, která ji podporuje.
4. Použijte správce hesel k vygenerování a uložení jedinečných hesel pro každou službu. Tím zajistíte, že únik jedné služby neohrozí vaše další účty.
5. Zkontrolujte haveibeenpwned.com, zda se vaše e-mailová adresa objevila v úniku MyFitnessPal nebo v jiném známém úniku dat.
6. Buďte skeptičtí vůči nevyžádaným e-mailům týkajícím se fitness, diety, doplňků nebo zdravotních aplikací. Vaše e-mailová adresa je v rukou útočníků, kteří vědí, že máte zájem o sledování výživy.

Často kladené otázky

Kdy byl MyFitnessPal hacknut?

MyFitnessPal byl hacknut v únoru 2018. Únik byl objeven 25. března 2018 a veřejně oznámen 29. března 2018. Přibližně 150 milionů uživatelských účtů bylo kompromitováno, což z něj v té době činilo jeden z největších úniků dat v historii. MyFitnessPal byl v době úniku ve vlastnictví společnosti Under Armour.

Jaká data byla ukradena při hacku MyFitnessPal?

Únik odhalil uživatelská jména, e-mailové adresy a hashovaná hesla přibližně 150 milionů účtů. Některá hesla byla hashována pomocí bcrypt (silný algoritmus), zatímco jiná používala SHA-1 (slabší algoritmus). Under Armour uvedla, že platební informace a podrobné zdravotní údaje (potravinové deníky, váhové záznamy) nebyly kompromitovány.

Je MyFitnessPal bezpečné používat v roce 2026?

MyFitnessPal provedl bezpečnostní vylepšení po úniku v roce 2018, včetně silnějšího hashování hesel a volitelné dvoufaktorové autentizace. Nicméně aplikace je nyní ve vlastnictví soukromé investiční firmy, spoléhá na příjmy z reklamy z bezplatné verze (což motivuje shromažďování dat) a nezveřejňuje výsledky nezávislých bezpečnostních auditů. Zda ji považujete za "bezpečnou", závisí na vaší osobní toleranci rizika a na tom, jak citlivá považujete svá nutriční data.

Bylo MyFitnessPal hacknuto více než jednou?

Únik v roce 2018 je jediným veřejně potvrzeným velkým únikem dat, který ovlivnil MyFitnessPal. Nicméně kompromitovaná data z úniku v roce 2018 byla následně prodána na tržištích dark webu a objevila se v kolekcích úniků přihlašovacích údajů, které kolovaly roky po původním incidentu.

Jak zjistím, zda moje data MyFitnessPal byla v úniku?

Pokud jste měli účet MyFitnessPal před březnem 2018, vaše data byla téměř jistě ovlivněna – únik kompromitoval přibližně 150 milionů z přibližně 150 milionů účtů, které v té době existovaly. Můžete zkontrolovat haveibeenpwned.com, abyste potvrdili, zda se vaše e-mailová adresa objevila v úniku. MyFitnessPal také poslal e-mailová oznámení postiženým uživatelům a vyžadoval resetování hesel.

Který sledovač kalorií je nejvíce soukromý a bezpečný?

Hledejte aplikace s obchodními modely založenými na předplatném a bez reklamy, protože ty mají menší motivaci shromažďovat a monetizovat uživatelská data. Nutrola funguje na modelu předplatného začínajícím na €2.50 měsíčně s nulovými reklamami na jakékoli úrovni, což znamená, že nedochází k shromažďování dat řízenému reklamou. Aplikace neprodává uživatelská data třetím stranám. Kromě ochrany soukromí nabízí Nutrola AI-poháněné logování potravin (foto, hlas, čárový kód), sleduje více než 100 živin z ověřené databáze 1.8 milionu potravin a podporuje Apple Watch, Wear OS a devět jazyků.