De ce a fost hack-uit MyFitnessPal? Explicația breșei de 150 de milioane de conturi

În februarie 2018, cineva a pătruns în sistemele MyFitnessPal și a furat datele de cont ale aproximativ 150 de milioane de utilizatori. Numele de utilizator, adresele de email și parolele criptate — toate compromise. La acea vreme, aceasta a fost una dintre cele mai mari breșe de date din istorie. Compania nu a descoperit breșa până în martie 2018, ceea ce înseamnă că atacatorii au avut acces la datele utilizatorilor timp de aproximativ o lună înainte ca cineva să observe.

Dacă ai folosit MyFitnessPal înainte de martie 2018, datele tale au fost aproape sigur parte din această breșă. Și dacă te întrebi de ce o aplicație de urmărire a caloriilor a devenit ținta uneia dintre cele mai mari hack-uri înregistrate vreodată, răspunsul dezvăluie adevăruri incomode despre modul în care aplicațiile de sănătate și fitness gestionează datele tale.

Acest articol explică exact ce s-a întâmplat, ce date au fost expuse, ce nu a fost, dacă MyFitnessPal este sigur de folosit astăzi și de ce confidențialitatea datelor de sănătate ar trebui să fie un factor decisiv în alegerea aplicației de nutriție de încredere.

Ce s-a întâmplat în breșa de date MyFitnessPal?

Iată cronologia evenimentelor așa cum s-au desfășurat:

Breșa: Februarie 2018

La sfârșitul lunii februarie 2018, o parte neautorizată a obținut acces la datele conturilor utilizatorilor MyFitnessPal. Metoda exactă de intruziune nu a fost niciodată dezvăluită complet publicului. Ceea ce se știe este că atacatorul a reușit să extragă un set masiv de date conținând informații despre conturile a aproximativ 150 de milioane de utilizatori.

La acea vreme, MyFitnessPal era deținut de Under Armour, care a achiziționat aplicația în 2015 pentru 475 de milioane de dolari. Under Armour era responsabilă pentru securitatea infrastructurii MyFitnessPal.

Descoperirea: 25 martie 2018

Echipa de securitate a MyFitnessPal a identificat breșa pe 25 martie 2018 — la aproximativ patru săptămâni după ce a avut loc intruziunea. O întârziere de patru săptămâni între breșă și detectare nu este neobișnuită pentru breșele de date de această amploare, dar înseamnă că atacatorul a avut săptămâni de acces neobservat la datele utilizatorilor.

Divulgarea publică: 29 martie 2018

Under Armour a făcut publică breșa pe 29 martie 2018, la doar patru zile după descoperirea acesteia. Compania a notificat utilizatorii afectați prin email și mesaje în aplicație, solicitând resetarea parolelor pentru toate conturile.

Consecințele

Acțiunile Under Armour au scăzut cu aproximativ 3,8% în zilele următoare divulgării. Breșa a contribuit la îngrijorările tot mai mari legate de strategia digitală de fitness a Under Armour și de costurile de întreținere a unei baze de date masive de utilizatori. Două ani mai târziu, Under Armour a vândut MyFitnessPal către Francisco Partners pentru 345 de milioane de dolari — cu 130 de milioane mai puțin decât prețul de achiziție inițial.

Ce date au fost expuse în hack-ul MyFitnessPal?

Înțelegerea exactă a ceea ce a fost compromis — și ce nu a fost — este importantă pentru evaluarea riscurilor.

Date compromise

• Numele de utilizator. Numele de cont utilizate pentru a te conecta la MyFitnessPal.
• Adrese de email. Adresele de email asociate fiecărui cont.
• Parole criptate. Parolele nu au fost stocate în text simplu. Au fost criptate folosind bcrypt, un algoritm de hashing puternic. Totuși, unele parole au fost criptate cu SHA-1, un algoritm mai slab, mai vulnerabil la atacuri.

Date care nu au fost compromise (conform Under Armour)

• Informații de plată. Under Armour a declarat că datele cardurilor de plată nu au fost afectate deoarece acestea erau colectate și procesate separat.
• Identificatori emisi de guvern. Numerele de securitate socială, numerele de permis de conducere și identificatori similari nu au fost stocate de MyFitnessPal și, prin urmare, nu au fost expuse.
• Date detaliate de sănătate. Under Armour a afirmat că breșa a implicat acreditivele contului, nu datele din jurnalul alimentar, înregistrările de greutate sau informațiile nutriționale stocate în aplicație.

De ce contează acest lucru chiar dacă au fost expuse „doar” emailuri și parole

Este tentant să minimalizăm breșa ca fiind „doar” nume de utilizator și parole. Dar impactul real al expunerii acestui tip de date este semnificativ:

• Atacuri de tip credential stuffing. Multe persoane reutilizează parolele pe mai multe servicii. Atacatorii care au spart parolele criptate ar putea folosi aceste date pentru a accesa alte conturi — email, bancar, social media, shopping — unde a fost folosită aceeași combinație de email și parolă.
• Campanii de phishing. Cu 150 de milioane de adrese de email confirmate ca fiind asociate cu o aplicație de sănătate și fitness, atacatorii aveau o listă țintă pentru emailuri de phishing legate de sănătate, fitness, suplimente și dietă. Aceste emailuri ar putea fi foarte convingătoare deoarece atacatorul știa că destinatarul folosește o aplicație de urmărire a caloriilor.
• Date vândute pe dark web. Datele furate de la MyFitnessPal au apărut pe piețele de dark web. În 2019, o colecție de baze de date compromise, inclusiv datele MyFitnessPal, a fost oferită spre vânzare pentru aproximativ 20.000 de dolari în criptomonedă.

De ce a fost MyFitnessPal o țintă?

O aplicație de urmărire a caloriilor ar putea părea o țintă neobișnuită pentru hackeri comparativ cu băncile sau comercianții cu amănuntul. Dar există motive specifice pentru care MyFitnessPal a fost atractivă pentru atacatori.

Scara bazei de utilizatori

Cu peste 150 de milioane de conturi la acea vreme, MyFitnessPal avea una dintre cele mai mari baze de date de utilizatori din orice aplicație de consum. Pentru atacatorii concentrați pe furtul de acreditive, volumul imens de combinații de email și parolă a făcut-o o țintă de mare valoare, indiferent de ceea ce făcea aplicația în sine.

Datele de sănătate au o valoare unică

Datele de sănătate și fitness devin din ce în ce mai valoroase în economia datelor. Informațiile despre ceea ce mănâncă oamenii, cât cântăresc, obiectivele lor de fitness și tiparele lor alimentare pot fi utilizate pentru publicitate țintită, profilare pentru asigurări și inginerie socială. Deși Under Armour a declarat că datele din jurnalul alimentar nu au fost compromise în breșa din 2018, simpla existență a unei baze de date masive de sănătate face ca platforma să fie o țintă.

Securitatea nu a fost o prioritate

Under Armour era o companie de îmbrăcăminte sportivă, nu o companie de tehnologie sau securitate. Când a achiziționat MyFitnessPal în 2015, accentul era pe creșterea bazei de utilizatori și integrarea aplicației în ecosistemul de fitness al Under Armour. Investiția în infrastructura de securitate nu a fost o prioritate.

Utilizarea hashing-ului SHA-1 pentru unele parole este un detaliu semnificativ. SHA-1 fusese considerat criptografic slab cu mulți ani înainte de breșa din 2018. Cele mai bune practici recomandau bcrypt sau algoritmi de hashing puternici similari. Faptul că unele parole MyFitnessPal erau încă criptate cu SHA-1 sugerează că actualizările de securitate nu au fost prioritizate.

S-a îmbunătățit securitatea MyFitnessPal de la breșă?

Aceasta este întrebarea la care utilizatorii actuali și potențiali au cea mai mare nevoie de răspuns. Răspunsul scurt: MyFitnessPal a făcut îmbunătățiri, dar istoria de proprietate a aplicației și modelul de afaceri ridică întrebări continue.

Ce s-a schimbat după breșă

După breșa din 2018, MyFitnessPal a implementat mai multe îmbunătățiri de securitate:

• Resetarea obligatorie a parolelor pentru toate conturile afectate
• Monitorizare îmbunătățită pentru acces neautorizat
• Migrarea la algoritmi de hashing mai puternici pentru parole
• Autentificare cu doi factori a fost adăugată ulterior ca opțiune

Ce nu s-a schimbat

În ciuda acestor îmbunătățiri, mai multe probleme structurale rămân:

• Fără criptare end-to-end pentru datele de sănătate. MyFitnessPal stochează datele din jurnalul alimentar, înregistrările de greutate și informațiile nutriționale pe serverele sale. Aceste date nu sunt criptate end-to-end, ceea ce înseamnă că compania (și orice atacator care obține acces la server) le poate citi.
• Un nou proprietar cu priorități diferite. Francisco Partners, firma de capital privat care a achiziționat MyFitnessPal în 2020, se concentrează pe generarea de venituri. Investiția în securitate concurează cu alte priorități în acest model.
• Colectarea de date bazată pe publicitate. Nivelul gratuit al MyFitnessPal este susținut de publicitate. Aplicațiile susținute de publicitate colectează în mod inerent mai multe date ale utilizatorilor pentru a servi reclame țintite. O colectare mai mare de date înseamnă o suprafață de atac mai mare și mai multe date în risc în cazul unei breșe potențiale.
• Fără audite de securitate publice. MyFitnessPal nu publică rezultatele auditurilor de securitate independente. Utilizatorii trebuie să aibă încredere în afirmațiile companiei despre îmbunătățirile de securitate fără verificare din partea unor terți.

De ce contează confidențialitatea datelor de sănătate?

Dacă urmărești ce mănânci, cât cântărești, măsurătorile corpului tău, obiectivele tale de fitness și tiparele tale alimentare într-o aplicație, creezi un profil detaliat de sănătate. Aceste date sunt mai sensibile decât își dă seama multă lume.

Datele de sănătate sunt unic personale

Jurnalul tău alimentar dezvăluie mult mai mult decât numărul de calorii. Acesta dezvăluie condiții medicale (urmărirea alimentelor pentru gestionarea diabetului sau a bolilor renale), tipare de sănătate mintală (mâncat compulsiv, restricție, mâncat emoțional), statut reproductiv (schimbări alimentare legate de sarcină), practici religioase (tipare de post), informații socio-economice (alegerile alimentare reflectă nivelul de venit) și multe altele.

Acestea nu sunt date pe care vrei să le expui într-o breșă, să fie vândute brokerilor de date sau folosite pentru profilarea asigurărilor.

Confidențialitatea datelor de sănătate este o preocupare legală în creștere

Regulamentele privind confidențialitatea datelor de sănătate devin mai stricte la nivel global. GDPR-ul Uniunii Europene oferă protecții puternice pentru datele legate de sănătate. În Statele Unite, HIPAA protejează dosarele medicale, dar nu acoperă datele introduse voluntar în aplicații de consum precum MyFitnessPal. Acest lucru creează un gol în care informațiile de sănătate extrem de sensibile au mai puține protecții legale decât fișa ta medicală.

Modelul de afaceri contează

Modul în care o companie câștigă bani afectează direct modul în care gestionează datele tale. Aplicațiile care se bazează pe venituri din publicitate au un stimulent financiar să colecteze cât mai multe date ale utilizatorilor posibil și să le împărtășească cu partenerii publicitari. Aplicațiile care se bazează pe abonamente au un stimulent financiar să protejeze datele utilizatorilor deoarece venitul lor provine din încrederea utilizatorilor, nu din monetizarea datelor.

Această distincție este critică atunci când alegi o aplicație de sănătate.

Cum să evaluezi securitatea datelor unei aplicații de nutriție

Dacă breșa de la MyFitnessPal te-a făcut să te gândești de două ori la locul unde îți stochezi datele de sănătate, iată ce să cauți atunci când evaluezi alternativele:

Întrebări cheie privind securitatea și confidențialitatea

Factor	Ce să cauți	Semn de alarmă
Model de afaceri	Bazat pe abonamente, fără reclame	Nivel gratuit susținut de publicitate cu partajarea datelor
Criptarea datelor	Criptare end-to-end pentru datele de sănătate	Fără criptare sau doar criptare pe server
Politica de confidențialitate	Clară, specifică, ușor de citit	Limbaj vag despre „parteneri” și „terți”
Ștergerea datelor	Ușor de șters toate datele tale permanent	Fără proces clar de ștergere
Partajarea cu terți	Minimă sau fără partajare de date cu terți	Date partajate cu agenți publicitari sau brokeri
Audite de securitate	Audite de securitate independente regulate	Fără informații publice despre audit
Istoricul breșelor	Istoric curat sau transparent cu privire la incidentele anterioare	Istoric de breșe cu divulgări slabe
Locația datelor	Servere în jurisdicții cu legi puternice privind confidențialitatea	Fără informații despre locația datelor

Cum abordează Nutrola confidențialitatea datelor

Nutrola este construită pe un model de abonament începând de la 2,50 € pe lună, fără reclame pe toate nivelurile de preț. Aceasta este o diferență fundamentală față de aplicațiile susținute de publicitate, cum ar fi nivelul gratuit al MyFitnessPal. Când nu există reclame, nu există stimulente pentru a colecta datele utilizatorilor în scopuri publicitare. Jurnalul tău alimentar, înregistrările de greutate și datele nutriționale există pentru a te servi, nu pentru a te profila pentru agenții publicitari.

Nutrola nu vinde datele utilizatorilor către terți. Venitul aplicației provine exclusiv din abonamente, ceea ce înseamnă că modelul de afaceri este aliniat cu confidențialitatea utilizatorului, nu opus. Când o companie câștigă bani prin menținerea utilizatorilor fericiți și încrezători, are toate motivele să protejeze datele lor. Când o companie câștigă bani din monetizarea datelor utilizatorilor prin publicitate, stimulentele merg în direcția opusă.

Comparatie: MyFitnessPal vs Nutrola pe confidențialitate și caracteristici

Factor	MyFitnessPal	Nutrola
Istoric major de breșe de date	Da (150M conturi, 2018)	Nu
Nivel gratuit susținut de publicitate	Da (reclame intense)	Nu (zero reclame pe toate nivelurile)
Model de venit	Abonamente + publicitate	Numai abonamente
Preț	Gratuit (limită) / 79,99 $ pe an	Începând de la 2,50 € pe lună
Nutrienți urmăriți	~6 fiabili	100+
Baza de date alimentară	14M+ intrări crowdsourced	1,8M+ intrări verificate
Înregistrare foto AI	Nu	Da
Înregistrare vocală	Nu	Da
Scanare coduri de bare	Numai premium	Da (toți utilizatorii)
Apple Watch + Wear OS	Doar Apple Watch de bază	Ambele sunt acceptate
Import rețete	Da	Da (cu detalierea nutrițională completă)
Limbi acceptate	20+	9

Ce ar trebui să faci dacă datele tale au fost în breșa MyFitnessPal?

Dacă ai avut un cont MyFitnessPal înainte de martie 2018, datele tale au fost probabil compromise. Iată ce ar trebui să faci dacă nu ai făcut-o deja:

1. Schimbă-ți parola MyFitnessPal dacă nu ai făcut-o de la breșă. Folosește o parolă puternică și unică.
2. Schimbă parolele pe orice alt serviciu unde ai folosit aceeași combinație de email și parolă ca și contul tău MyFitnessPal. Acesta este cel mai important pas pentru a preveni atacurile de tip credential stuffing.
3. Activează autentificarea cu doi factori pe MyFitnessPal și pe fiecare alt serviciu care o suportă.
4. Folosește un manager de parole pentru a genera și stoca parole unice pentru fiecare serviciu. Acest lucru asigură că o breșă a unui serviciu nu compromite celelalte conturi.
5. Verifică haveibeenpwned.com pentru a vedea dacă adresa ta de email a apărut în breșa MyFitnessPal sau în alte breșe de date cunoscute.
6. Fii sceptic cu privire la emailurile nesolicitate legate de fitness, dietă, suplimente sau aplicații de sănătate. Adresa ta de email este în mâinile atacatorilor care știu că ești interesat de urmărirea nutriției.

Întrebări frecvente

Când a fost hack-uit MyFitnessPal?

MyFitnessPal a fost hack-uit în februarie 2018. Breșa a fost descoperită pe 25 martie 2018 și divulgată public pe 29 martie 2018. Aproximativ 150 de milioane de conturi de utilizatori au fost compromise, făcând-o una dintre cele mai mari breșe de date din istorie la acea vreme. MyFitnessPal era deținut de Under Armour în timpul breșei.

Ce date au fost furate în hack-ul MyFitnessPal?

Breșa a expus numele de utilizator, adresele de email și parolele criptate pentru aproximativ 150 de milioane de conturi. Unele parole au fost criptate cu bcrypt (un algoritm puternic), în timp ce altele au folosit SHA-1 (un algoritm mai slab). Under Armour a declarat că informațiile de plată și datele detaliate de sănătate (jurnalele alimentare, înregistrările de greutate) nu au fost compromise.

Este MyFitnessPal sigur de folosit în 2026?

MyFitnessPal a implementat îmbunătățiri de securitate după breșa din 2018, inclusiv hashing mai puternic pentru parole și autentificare opțională cu doi factori. Cu toate acestea, aplicația este acum deținută de o firmă de capital privat, se bazează pe venituri din publicitate din nivelul gratuit (ceea ce încurajează colectarea de date) și nu publică rezultate ale auditurilor de securitate independente. Dacă o consideri „sigură” depinde de toleranța ta personală la risc și de cât de sensibile consideri datele tale nutriționale.

A mai fost hack-uit MyFitnessPal?

Breșa din 2018 este singura breșă majoră confirmată public care afectează MyFitnessPal. Cu toate acestea, datele compromise din breșa din 2018 au fost ulterior vândute pe piețele de dark web și au apărut în colecții de date compromise care au circulat timp de ani de zile după incidentul inițial.

Cum pot ști dacă datele mele MyFitnessPal au fost în breșă?

Dacă ai avut un cont MyFitnessPal înainte de martie 2018, datele tale au fost aproape sigur afectate — breșa a compromis aproximativ 150 de milioane din cele aproximativ 150 de milioane de conturi existente la acea vreme. Poți verifica haveibeenpwned.com pentru a confirma dacă adresa ta de email a apărut în breșă. MyFitnessPal a trimis de asemenea notificări prin email utilizatorilor afectați și a solicitat resetarea parolelor.

Care tracker de calorii este cel mai privat și sigur?

Caută aplicații cu modele de afaceri bazate pe abonamente și fără publicitate, deoarece acestea au mai puțin stimulent să colecteze și să monetizeze datele utilizatorilor. Nutrola funcționează pe un model de abonament începând de la 2,50 € pe lună, fără reclame pe niciun nivel, ceea ce înseamnă că nu există colectare de date bazată pe publicitate. Aplicația nu vinde datele utilizatorilor către terți. Pe lângă confidențialitate, Nutrola oferă înregistrare alimentară bazată pe AI (foto, voce, cod de bare), urmărește peste 100 de nutrienți dintr-o bază de date verificată de 1,8 milioane de alimente și suportă Apple Watch, Wear OS și nouă limbi.