Onko MyFitnessPal turvallinen käyttää tietomurron jälkeen?

Suora vastaus: MyFitnessPal on nyt turvallisempi kuin vuonna 2018, mutta merkittäviä yksityisyysongelmia on edelleen. Vuoden 2018 tietomurto, joka paljasti 150 miljoonaa käyttäjätiliä, oli yksi suurimmista internetin historiassa. MFP on sen jälkeen vaihtanut omistajaa, päivittänyt turvallisuusinfrastruktuuriaan ja parantanut tunnistautumisvaihtoehtojaan. Silti sovellus kerää edelleen laajasti käyttäjätietoja mainontatarkoituksiin, ja sovellukselle, joka tallentaa terveysinformaatiosi — mitä syöt, kuinka paljon painat, terveyden tavoitteesi — yksityisyysmallia on syytä tarkastella kriittisesti.

Tässä on rehellinen katsaus siihen, mitä tapahtui, mitä muuttui ja mitä sinun tulisi harkita ennen kuin luotat MFP:hen terveysdatasi kanssa vuonna 2026.

Mitä tarkalleen tapahtui MyFitnessPalin tietomurrossa?

Maaliskuussa 2018 Under Armour (joka omisti MyFitnessPalin tuolloin) ilmoitti, että valtuuttamaton taho oli päässyt käsiksi MFP:n käyttäjätietoihin helmikuussa 2018. Tietomurto vaikutti noin 150 miljoonaan käyttäjätiliin, mikä teki siitä kymmenen suurimman tietomurron joukossa.

Mitä tietoja paljastui?

Vaarantuneet tiedot sisälsivät:

• Käyttäjänimet — jokaisen tilin näyttönimi
• Sähköpostiosoitteet — 150 miljoonaa sähköpostiosoitetta vuoti
• Hashatut salasanat — salasanat oli hashattu, mutta käytössä oli sekoitus bcryptia ja SHA-1:stä. SHA-1 -hashatut salasanat olivat merkittävästi helpompia murtaa
• IP-osoitteet — käyttäjän sijaintitiedot kirjautumistietojen perusteella

Raportoituja ei-vaarantuneita tietoja olivat:

• Maksukorttitiedot (käsitelty erillisessä järjestelmässä)
• Sosiaaliturvatunnukset tai hallituksen henkilökortit (ei kerätty)
• Yksityiskohtaiset ruokapäiväkirjatiedot (vaikka tämä on vähemmän varmaa)

SHA-1 -ongelma

Tärkeä yksityiskohta, jonka monet ihmiset ohittivat: vaikka Under Armour ilmoitti, että salasanat oli hashattu, osa niistä käytti SHA-1-hashausmenetelmää sen sijaan, että olisi käytetty turvallisempaa bcryptia. SHA-1:stä pidetään kryptografisesti heikkona, ja se voidaan murtaa nykyaikaisella laitteistolla. Tämä tarkoitti, että miljoonat käyttäjäsalasanat olivat käytännössä palautettavissa hyökkääjien toimesta, eivät vain hashattuina.

Tietomurtoaineisto päätyi lopulta pimeille markkinoille. Vuonna 2019 koko datasetti tarjottiin myytäväksi osana laajempaa tietomurtokokoelmaa.

Mitä on muuttunut tietomurron jälkeen?

Useita merkittäviä muutoksia on tapahtunut vuodesta 2018.

Omistuksen muutos

Vuonna 2020 Under Armour myi MyFitnessPalin Francisco Partnersille, pääomasijoitusyhtiölle, noin 345 miljoonalla dollarilla — merkittävä tappio verrattuna 475 miljoonaan dollariin, jonka Under Armour maksoi vuonna 2015. Uusi omistus toi mukanaan uuden johdon ja oletettavasti uusia turvallisuusprioriteetteja.

Infrastruktuurin päivitykset

MFP on päivittänyt turvallisuusinfrastruktuuriaan tietomurron jälkeen. Erityisiä parannuksia ovat:

• Pakolliset salasanan vaihdot — kaikkien käyttäjien oli vaihdettava salasanat tietomurron jälkeen
• Parannettu hashauksen turvallisuus — salasanat tallennetaan nyt käyttäen nykyaikaisia hashausepäilyksiä
• Kaksivaiheinen tunnistautuminen — MFP lisäsi valinnaisen 2FA-tuen
• Päivitetty salaus — siirrettävä ja levossa oleva data käyttää nykyisiä salausstandardeja

Oikeudelliset sovittelut

Under Armour sovitti tietomurtoon liittyvän ryhmäkanteen. Sovinto sisälsi rahallista korvausta asianomaisille käyttäjille ja sitoumuksia parantaa turvallisuuskäytäntöjä. SEC tutki myös tietomurron ilmoittamisen ajankohtaa.

Mitkä yksityisyysongelmat ovat edelleen voimassa vuonna 2026?

Parantunut turvallisuus ei tarkoita parantunutta yksityisyyttä. Nämä ovat kaksi eri asiaa, ja yksityisyyspuoli on se, jossa MFP edelleen herättää huolta.

Laaja tietojen keruu mainontaa varten

MFP:n ilmainen versio on mainosten tukema, ja mainontamalli edellyttää käyttäjätietojen keräämistä ja jakamista mainosverkkojen ja kumppanien kanssa. MFP kerää seuraavia tietoja:

• Kaikki syömäsi — koko ruokapäiväkirjasi, ateria-ajat ja ruokailutottumukset
• Kehosi mittarit — paino, pituus, kehon mittaukset, tavoitepaino
• Terveystavoitteesi — painonpudotus, lihasmassan lisääminen, ylläpitotavoitteet
• Liikuntatietosi — harjoitukset, aktiivisuustasot, kuntoilun integraatiot
• Laitetietosi — laitetyyppi, käyttöjärjestelmä, sijaintitiedot, käyttömallit
• Käyttäytymistietosi — mitä ominaisuuksia käytät, milloin avaat sovelluksen, kuinka kauan vietät aikaa

Nämä tiedot luovat äärimmäisen yksityiskohtaisen terveysprofiilin. Kun ne yhdistetään mainoskumppanien tietoihin, se mahdollistaa erittäin kohdennettujen mainosten toimittamisen — ja tarkoittaa, että terveysinformaatiosi jaetaan kolmansille osapuolille, joiden tietokäytännöistä sinulla ei ole kontrollia.

Terveystiedot ovat erityisen herkkiä

On syy, miksi terveysdata saa erityistä oikeudellista suojaa esimerkiksi HIPAA:ssa ja GDPR:ssä. Ravitsemus- ja kehon koostumustietosi paljastavat:

• Lääketieteelliset olosuhteet (seurataan ruokarajoitusten kautta)
• Mielenterveyden indikaattorit (ruokailutottumukset korreloivat mielihäiriöiden kanssa)
• Raskaus (ruokavalion muutokset ovat vahva signaali)
• Urheilullinen tila ja fyysiset kyvyt
• Sosioekonomiset indikaattorit (ruokavalinnat korreloivat tulojen kanssa)

Kun näitä tietoja kerätään mainontaa varten, niitä voidaan käyttää tavoilla, joita useimmat käyttäjät eivät koskaan osanneet odottaa. Mainosverkko, joka tietää sinun seuraavan 1 200 kalorin ruokavaliota, kirjaavan raskaustabletteja tai rajoittavan natriumia, kertoo mainostajille asioita elämästäsi, jotka ylittävät yksinkertaiset ruokamieltymykset.

Mainontarahoitteisen terveysappin paradoksi

Mainontatuloon perustuvassa terveysappissa on perustavanlaatuinen jännite. Sovelluksen on saatava sinut käyttämään sitä usein (palvellakseen enemmän mainoksia), sen on oltava kerättävä yksityiskohtaisia tietoja (mainosten tehokkaaksi kohdentamiseksi) ja sen on jaettava näitä tietoja kolmansille osapuolille (mainossopimusten täyttämiseksi). Terveystietosi muuttuvat tuotteeksi, ei suojatuksi omaisuudeksi.

Tämä ei tarkoita, että MFP tekee mitään laitonta. Se tarkoittaa, että liiketoimintamalli luo kannustimia, jotka ovat ristiriidassa yksityisyysintressiesi kanssa, erityisesti kun mukana on terveysdataa.

Miten MyFitnessPal vertautuu yksityisyyteen?

MyFitnessPalin yksityisyyskäytännöt

• Mainostuloilla tuettu ilmainen versio, joka vaatii laajaa tietojen jakamista mainosverkkojen kanssa
• Valinnainen premium (19,99 €/kuukausi), joka poistaa mainokset, mutta yksityisyyskäytäntö sallii silti tietojen keruun
• Tietoja jaetaan Francisco Partnersin salkkuyhtiöille ja kumppaneille
• Yksi suurimmista tietomurroista internetin historiassa
• Kaksivaiheinen tunnistautuminen saatavilla, mutta ei pakollinen

Yksityisyyskeskeiset vaihtoehdot

Kaikki ravitsemusseurantaohjelmat eivät käytä samaa tietomallia. Sovellukset, jotka veloittavat tilauksen alusta alkaen, keräävät tyypillisesti vähemmän tietoja, koska niiden ei tarvitse ansaita rahaa tietojesi kautta mainonnalla.

Terveysappien yksityisyysvertailu

Yksityisyystekijä	MFP Ilmainen	MFP Premium	Nutrola	Cronometer
Mainonnan seuranta	Kyllä	Vähennetty	Ei	Jonkin verran (ilmainen)
Kolmansien osapuolten tietojen jakaminen	Laaja	Kohtalainen	Vähäinen	Kohtalainen
Terveystietoja käytetään mainontaan	Kyllä	Rajoitettu	Ei	Rajoitettu
Kaksivaiheinen tunnistautuminen	Valinnainen	Valinnainen	Kyllä	Valinnainen
Tietomurtohistoria	Kyllä (150M)	Kyllä (150M)	Ei	Ei
Mainokseton malli	Ei	Kyllä	Kyllä (kaikilla tasoilla)	Vain maksullinen taso
GDPR-yhteensopiva	Kyllä	Kyllä	Kyllä	Kyllä
Tietojen vienti saatavilla	Kyllä	Kyllä	Kyllä	Kyllä
Tietojen poisto pyynnöstä	Kyllä	Kyllä	Kyllä	Kyllä

Kuinka suojautua, jos käytät MyFitnessPalia

Jos päätät jatkaa MFP:n käyttöä, nämä toimet vähentävät riskiäsi.

Välittömät turvallisuustoimet

1. Ota käyttöön kaksivaiheinen tunnistautuminen — tämä on tehokkain suojaus keino valtuuttamattomalta tilin käytöltä
2. Käytä ainutlaatuista salasanaa — älä koskaan käytä MFP-salasanaasi missään muussa palvelussa. Käytä salasanojen hallintatyökalua vahvan, ainutlaatuisen salasanan luomiseen
3. Tarkista sähköpostisi Have I Been Pwned -sivustolla — käy osoitteessa haveibeenpwned.com nähdäksesi, onko sähköpostisi ollut tietomurtodatasetissä
4. Tarkista liitetyt sovellukset — peruuta pääsy kaikilta kuntoilu- tai terveysappilta, joita et enää käytä ja jotka on liitetty MFP-tiliisi

Yksityisyystoimet

1. Tarkista yksityisyysasetuksesi — MFP:ssä on yksityisyysasetuksia, jotka on piilotettu asetuksiin. Aseta päiväkirjasi yksityiseksi, rajoita tietojen jakamista mahdollisuuksien mukaan
2. Harkitse, mitä kirjaat — ole tietoinen siitä, että kaikki, mitä syötät MFP:hen, tulee osaksi tietoprofiiliasi
3. Käytä premiumia, jos pysyt — maksullinen taso poistaa ainakin mainoksiin perustuvan seurannan, vaikka yksityisyyskäytäntö sallii silti tietojen keruun
4. Lue nykyinen yksityisyyskäytäntö — ymmärrä tarkalleen, mitä MFP kerää ja kenen kanssa he jakavat sen

Pitäisikö sinun siirtyä yksityisyyskeskeiseen vaihtoehtoon?

Jos yksityisyys on sinulle todellinen huolenaihe — ja terveysdatan osalta sen pitäisi olla — yksinkertaisin ratkaisu on käyttää sovellusta, jonka liiketoimintamalli ei perustu tietojesi keruuseen.

Nutrola: Nolla mainoksia kaikilla tasoilla

Nutrola toimii yksinkertaisella tilausmallilla: ILMAINEN KOKEILU kaikilla ominaisuuksilla, sitten 2,50 €/kuukausi. Kaikilla tasoilla ei ole mainoksia, mikä tarkoittaa, ettei mainontainfrastruktuuri kerää ja jaa tietojasi. Liiketoimintamalli on yksinkertainen — maksat sovelluksesta, ja sovellus toimii sinulle, ei mainostajille.

Yksityisyysedun lisäksi Nutrola tarjoaa AI-valokuvan ja äänen kirjaamisen, viivakoodin skannauksen, yli 1,8 miljoonan ravitsemusasiantuntijan vahvistaman elintarviketietokannan, joka seuraa yli 100 ravintoainetta, Apple Watch- ja Wear OS -tuet, reseptien tuonnin mistä tahansa URL-osoitteesta ja saatavuuden 15 kielellä. Yli 2 miljoonalla käyttäjällä ja 4,9 tähden arvosanalla se tarjoaa enemmän toiminnallisuutta kuin MFP murto-osalla hinnasta — ilman yksityisyysuhreita.

Kun hinta on tietosi

Vertailu on syytä esittää selkeästi. MFP:n ilmainen versio ei maksa sinulle mitään rahallisesti, mutta kerää ja kaupallistaa terveysdataasi mainonnan kautta. MFP Premium maksaa 19,99 €/kuukausi ja vähentää, mutta ei poista tietojen keruuta. Nutrola maksaa 2,50 €/kuukausi ilmaisjakson jälkeen eikä kerää tietoja mainontaa varten lainkaan.

Minkään mainostuella tuetun sovelluksen "ilmainen" taso ei ole oikeasti ilmainen. Maksat tiedoillasi. Kun nämä tiedot kuvaavat terveyttäsi, ruokailutottumuksiasi, kehon koostumustasi ja hyvinvointitavoitteitasi, hinta on korkeampi kuin useimmat ihmiset tajuavat.

Usein kysytyt kysymykset

Oliko tietoni varmasti vaarantuneet MyFitnessPalin tietomurrossa?

Jos sinulla oli MyFitnessPal-tili ennen helmikuuta 2018, tilisi tiedot olivat todennäköisesti osa tietomurtoa. Tietomurto vaikutti noin 150 miljoonaan tiliin, mikä oli käytännössä koko käyttäjäkunta tuolloin. Tarkista haveibeenpwned.com sähköpostiosoitteellasi varmistaaksesi.

Voinko poistaa MyFitnessPal-tilini ja tietoni pysyvästi?

Kyllä. MFP sallii tilin poistamisen sovelluksen asetusten kautta tai ottamalla yhteyttä tukeen. GDPR:n ja vastaavien yksityisyyslakien mukaan heidän on poistettava tietosi pyynnöstä. Huomaa, että tämä on pysyvää, eikä historiallisia tietoja voida palauttaa.

Onko MyFitnessPalia murrettu uudelleen vuoden 2018 jälkeen?

Vuoden 2018 tapauksen jälkeen MyFitnessPalista ei ole raportoitu julkisesti tietomurtoja. Kuitenkin turvallisuusympäristö kehittyy jatkuvasti, ja aiempi tietomurtohistoria on tilastollinen riskitekijä tuleville tapauksille kyberturvallisuustutkimuksen mukaan.

Myykö MyFitnessPal tietojani?

MFP:n yksityisyyskäytännössä kuvataan tietojen jakamista "kumppaneiden" kanssa mainontaa ja analytiikkaa varten. Se, laskettaanko tämä "myynniksi", riippuu laillisista määritelmistä, jotka vaihtelevat lainkäyttöalueittain. Kalifornian kuluttajansuojalain (CCPA) mukaan tietojen jakaminen kohdennettua mainontaa varten voidaan luokitella "henkilökohtaisen tiedon myynniksi".

Onko MyFitnessPal HIPAA-yhteensopiva?

Ei. MyFitnessPal ei ole HIPAA:n alainen organisaatio, koska se on kuluttajaterveysappi, ei terveydenhuollon tarjoaja tai terveydensuunnitelma. HIPAA ei koske useimpia kuluttajaterveys- ja kuntoilusovelluksia, mikä tarkoittaa, että MFP:n tietoja ei suojata HIPAA:n mukaan, riippumatta siitä, kuinka herkkiä ne ovat.

Pitäisikö minun vaihtaa salasana, jos käytin MyFitnessPalia vuonna 2018?

Jos et ole vaihtanut MFP-salasanaasi ennen maaliskuuta 2018, vaihda se heti. Vielä tärkeämpää on, että jos olet käyttänyt samaa salasanaa muissa palveluissa, vaihda myös ne salasanat. Tietomurtoaineisto on levinnyt laajasti, ja salasanojen uudelleenkäyttö on ensisijainen syy siihen, että murrettuja tunnuksia käytetään edelleen.

Yhteenveto MyFitnessPalin turvallisuudesta

MyFitnessPal on teknisesti turvallisempi kuin se oli vuonna 2018. Turvallisuusinfrastruktuuria on päivitetty, 2FA on saatavilla ja omistus on vaihtunut. Mutta "turvallisempi kuin 2018" on matala kynnys, ja perusongelma yksityisyydessä — mainontaan perustuva liiketoimintamalli, joka kaupallistaa terveysdataasi — ei ole muuttunut.

Ravitsemustietosi ovat terveysdataa. Ne paljastavat intiimejä yksityiskohtia elämästäsi, kehostasi ja terveydentiloistasi. Kysymys ei ole vain siitä, voiko MFP estää toisen tietomurron (siinä se on parantunut), vaan siitä, oletko tyytyväinen siihen, miten tietojasi kerätään, käytetään ja jaetaan liiketoiminnan normaalin kulun aikana.

Jos vastaus on ei, on olemassa vaihtoehtoja, jotka kunnioittavat yksityisyyttäsi suunnittelussaan. Aloita ILMAINEN KOKEILU Nutrola ja koe ravitsemusseuranta, jossa nolla mainoksia tarkoittaa nolla mainontapohjaista tietojen keruuta — vain tarkkaa seurantaa vahvistetulla tietokannalla, AI-kirjauksella ja yli 100 ravintoaineella 2,50 €/kuukausi.