Чому MyFitnessPal був зламаний? Пояснення витоку 150 мільйонів акаунтів

У лютому 2018 року зловмисники зламали системи MyFitnessPal і вкрали дані акаунтів приблизно 150 мільйонів користувачів. Імена користувачів, електронні адреси та захищені паролі — все це стало доступним для зловмисників. На той момент це був один з десяти найбільших витоків даних в історії. Компанія виявила злом лише в березні 2018 року, що означає, що зловмисники мали доступ до даних користувачів приблизно місяць, перш ніж хтось це помітив.

Якщо ви користувалися MyFitnessPal до березня 2018 року, ваші дані, ймовірно, стали частиною цього витоку. І якщо ви досі дивуєтеся, чому додаток для відстеження калорій став мішенню одного з найбільших зломів, відповідь відкриває деякі неприємні істини про те, як додатки для здоров'я та фітнесу обробляють ваші дані.

Ця стаття пояснить, що саме сталося, які дані були викриті, що не було, чи безпечно користуватися MyFitnessPal сьогодні, і чому конфіденційність даних про здоров'я повинна бути вирішальним фактором при виборі додатку для харчування, якому ви довіряєте.

Що сталося під час витоку даних MyFitnessPal?

Ось хронологія подій, які відбулися:

Витік: лютий 2018

Наприкінці лютого 2018 року несанкціонована особа отримала доступ до даних акаунтів користувачів MyFitnessPal. Точний метод зламу ніколи не був повністю розкритий публіці. Відомо лише, що зловмисник зміг витягти величезний обсяг даних, що містять інформацію про акаунти приблизно 150 мільйонів користувачів.

На той момент MyFitnessPal належав компанії Under Armour, яка придбала додаток у 2015 році за 475 мільйонів доларів. Under Armour відповідала за безпеку інфраструктури MyFitnessPal.

Виявлення: 25 березня 2018

Команда безпеки MyFitnessPal виявила витік 25 березня 2018 року — приблизно через чотири тижні після того, як стався злом. Чотиритижнева затримка між витоком і виявленням не є незвичайною для витоків даних такого масштабу, але це означає, що зловмисник мав тижні непоміченого доступу до даних користувачів.

Публічне розкриття: 29 березня 2018

Under Armour публічно оголосила про витік 29 березня 2018 року, всього через чотири дні після його виявлення. Компанія повідомила постраждалих користувачів електронною поштою та в повідомленнях у додатку, вимагаючи скидання паролів для всіх акаунтів.

Наслідки

Акції Under Armour впали приблизно на 3,8% в дні після розкриття. Витік сприяв зростаючим занепокоєнням щодо цифрової стратегії фітнесу Under Armour та витрат на підтримку величезної бази користувачів. Через два роки Under Armour продала MyFitnessPal компанії Francisco Partners за 345 мільйонів доларів — на 130 мільйонів менше, ніж початкова ціна покупки.

Які дані були викриті під час зламу MyFitnessPal?

Розуміння того, що саме було скомпрометовано — а що ні — важливо для оцінки ризику.

Дані, які були скомпрометовані

• Імена користувачів. Імена акаунтів, які використовувалися для входу в MyFitnessPal.
• Електронні адреси. Електронні адреси, пов'язані з кожним акаунтом.
• Захищені паролі. Паролі не зберігалися у відкритому вигляді. Вони були захищені за допомогою bcrypt, потужного алгоритму хешування. Однак деякі паролі були захищені за допомогою SHA-1, слабшого алгоритму, який є більш вразливим до злому.

Дані, які не були скомпрометовані (згідно з Under Armour)

• Платіжна інформація. Under Armour заявила, що дані платіжних карток не постраждали, оскільки вони збиралися та оброблялися окремо.
• Ідентифікатори, видані державою. Номери соціального страхування, номери водійських прав та подібні ідентифікатори не зберігалися в MyFitnessPal і, отже, не були викриті.
• Детальні дані про здоров'я. Under Armour заявила, що витік стосувався облікових даних, а не даних про харчування, записів ваги або харчової інформації, що зберігається в додатку.

Чому це важливо, навіть якщо "лише" електронні адреси та паролі були викриті

Легко зневажати витік, вважаючи його "лише" іменами користувачів та паролями. Але реальний вплив такого роду витоку даних є значним:

• Атаки на основі облікових даних. Багато людей повторно використовують паролі на кількох сервісах. Зловмисники, які зламали захищені паролі, могли б використовувати їх для доступу до інших акаунтів — електронної пошти, банківських рахунків, соціальних мереж, онлайн-магазинів — де використовувалися ті ж комбінації електронної пошти та пароля.
• Фішингові кампанії. Маючи 150 мільйонів підтверджених електронних адрес, пов'язаних із додатком для здоров'я та фітнесу, зловмисники отримали цілеспрямований список для фішингових електронних листів, пов'язаних зі здоров'ям, фітнесом, добавками та дієтами. Ці електронні листи могли бути дуже переконливими, оскільки зловмисник знав, що отримувач користується додатком для відстеження калорій.
• Дані, що продаються на темному вебі. Вкрадені дані MyFitnessPal з'явилися на ринках темного вебу. У 2019 році колекція зламаних баз даних, включаючи дані MyFitnessPal, була запропонована на продаж за приблизно 20 000 доларів у криптовалюті.

Чому MyFitnessPal став мішенню?

Додаток для відстеження калорій може здаватися незвичайною мішенню для хакерів у порівнянні з банками чи роздрібними торговцями. Але є конкретні причини, чому MyFitnessPal був привабливим для зловмисників.

Масштаб користувацької бази

З понад 150 мільйонами акаунтів на той момент, MyFitnessPal мав одну з найбільших баз користувачів серед будь-яких споживчих додатків. Для зловмисників, які зосереджені на крадіжці облікових даних, величезна кількість комбінацій електронних адрес і паролів робила його цінною мішенню, незалежно від того, що саме робив додаток.

Дані про здоров'я мають унікальну цінність

Дані про здоров'я та фітнес стають все більш цінними в економіці даних. Інформація про те, що люди їдять, скільки важать, які мають цілі у фітнесі та їхні харчові звички може використовуватися для цілеспрямованої реклами, профілювання страхування та соціальної інженерії. Хоча Under Armour заявила, що дані про харчування не були скомпрометовані під час витоку 2018 року, сама наявність величезного репозиторію даних про здоров'я робить платформу мішенню.

Безпека не була пріоритетом

Under Armour була компанією, що виробляє спортивний одяг, а не технологічною чи безпековою компанією. Коли вона придбала MyFitnessPal у 2015 році, акцент був на розширенні бази користувачів і інтеграції додатку в екосистему фітнесу Under Armour. Інвестиції в безпеку не були пріоритетом.

Використання SHA-1 для деяких паролів є показовим моментом. SHA-1 вважався криптографічно слабким протягом багатьох років до витоку 2018 року. Найкращі практики вимагали використання bcrypt або подібних потужних алгоритмів хешування. Той факт, що деякі паролі MyFitnessPal все ще були захищені за допомогою SHA-1, свідчить про те, що оновлення безпеки не були пріоритетом.

Чи покращилася безпека MyFitnessPal після витоку?

Це питання, на яке нинішнім та потенційним користувачам потрібно отримати відповідь. Коротка відповідь: MyFitnessPal здійснив покращення, але історія володіння додатком і бізнес-модель викликають постійні питання.

Що змінилося після витоку

Після витоку 2018 року MyFitnessPal впровадив кілька покращень безпеки:

• Обов'язкове скидання паролів для всіх постраждалих акаунтів
• Покращене моніторинг несанкціонованого доступу
• Перехід на сильніші алгоритми хешування для паролів
• Двофакторна аутентифікація згодом була додана як опція

Що не змінилося

Незважаючи на ці покращення, кілька структурних проблем залишаються:

• Відсутність шифрування даних про здоров'я. MyFitnessPal зберігає дані про харчування, записи ваги та харчову інформацію на своїх серверах. Ці дані не шифруються кінцевими засобами, що означає, що компанія (і будь-який зловмисник, який отримує доступ до сервера) можуть їх читати.
• Новий власник з іншими пріоритетами. Francisco Partners, приватна інвестиційна компанія, яка придбала MyFitnessPal у 2020 році, зосереджена на генерації доходу. Інвестиції в безпеку конкурують з іншими пріоритетами в цій моделі.
• Збір даних на основі реклами. Безкоштовна версія MyFitnessPal підтримується рекламою. Додатки, що підтримуються рекламою, зазвичай збирають більше даних користувачів для показу цілеспрямованої реклами. Більше збору даних означає більшу поверхню атаки та більше даних під загрозою в разі потенційного витоку.
• Відсутність публічних аудитів безпеки. MyFitnessPal не публікує результати незалежних аудитів безпеки. Користувачі повинні довіряти заявам компанії про покращення безпеки без сторонньої перевірки.

Чому важлива конфіденційність даних про здоров'я?

Якщо ви відстежуєте, що їсте, скільки важите, ваші виміри тіла, цілі у фітнесі та харчові звички в додатку, ви створюєте детальний профіль здоров'я. Ці дані є більш чутливими, ніж багато людей усвідомлюють.

Дані про здоров'я є унікально особистими

Ваш щоденник харчування розкриває набагато більше, ніж просто кількість калорій. Він розкриває медичні стани (відстеження їжі для управління діабетом або захворюваннями нирок), патерни психічного здоров'я (переїдання, обмеження, емоційне харчування), репродуктивний статус (зміни в харчуванні під час вагітності), релігійні практики (патерни посту), соціально-економічну інформацію (харчові вибори відображають рівень доходу) тощо.

Це не ті дані, які ви хочете, щоб були викриті під час витоку, продані брокерам даних або використані для профілювання страхування.

Конфіденційність даних про здоров'я стає все більш важливою з юридичної точки зору

Регулювання конфіденційності даних про здоров'я посилюється в усьому світі. GDPR ЄС забезпечує сильний захист даних, пов'язаних зі здоров'ям. У Сполучених Штатах HIPAA захищає медичні записи, але не охоплює дані, які добровільно вводяться в споживчі додатки, такі як MyFitnessPal. Це створює прогалину, де високочутлива інформація про здоров'я має менше юридичних захистів, ніж ваша медична картка.

Бізнес-модель має значення

Як компанія заробляє гроші безпосередньо впливає на те, як вона обробляє ваші дані. Додатки, які покладаються на доходи від реклами, мають фінансовий стимул збирати якомога більше даних користувачів і ділитися ними з рекламними партнерами. Додатки, які покладаються на підписки, мають фінансовий стимул захищати дані користувачів, оскільки їхній дохід походить з довіри користувачів, а не з монетизації даних.

Це розмежування є критично важливим при виборі додатку для здоров'я.

Як оцінити безпеку даних у додатку для харчування

Якщо витік MyFitnessPal змусив вас замислитися над тим, де зберігати свої дані про здоров'я, ось на що слід звернути увагу при оцінці альтернатив:

Ключові питання безпеки та конфіденційності

Фактор	На що звернути увагу	Тривожний сигнал
Бізнес-модель	На основі підписки, без реклами	Безкоштовна версія з підтримкою реклами та обміном даними
Шифрування даних	Шифрування кінцевими засобами для даних про здоров'я	Відсутність шифрування або лише серверне
Політика конфіденційності	Чітка, конкретна, легка для читання	Розмита мова про "партнерів" та "третіх осіб"
Видалення даних	Легко видалити всі ваші дані назавжди	Відсутність чіткої процедури видалення
Обмін даними з третіми особами	Мінімальний або відсутній обмін даними з третіми особами	Дані обмінюються з рекламодавцями або брокерами
Аудити безпеки	Регулярні незалежні аудити безпеки	Відсутня публічна інформація про аудит
Історія витоків	Чиста історія або прозорість щодо минулих інцидентів	Історія витоків з поганим розкриттям
Локація даних	Сервери в юрисдикціях з сильними законами про конфіденційність	Відсутня інформація про локацію даних

Як Nutrola підходить до конфіденційності даних

Nutrola працює за моделлю підписки, починаючи з €2.50 на місяць, без реклами на всіх тарифах. Це принципова відмінність від безкоштовних додатків, підтримуваних рекламою, таких як MyFitnessPal. Коли немає реклами, немає стимулу збирати дані користувачів для рекламних цілей. Ваш щоденник харчування, записи ваги та харчова інформація існують для вашої вигоди, а не для профілювання вас для рекламодавців.

Nutrola не продає дані користувачів третім особам. Доходи додатку повністю походять з підписок, що означає, що бізнес-модель узгоджується з конфіденційністю користувачів, а не протистоїть їй. Коли компанія заробляє гроші, тримаючи користувачів задоволеними та довірливими, у неї є всі причини захищати їхні дані. Коли компанія заробляє гроші на монетизації даних користувачів через рекламу, стимули вказують в протилежному напрямку.

Порівняння: MyFitnessPal та Nutrola щодо конфіденційності та функцій

Фактор	MyFitnessPal	Nutrola
Історія великих витоків даних	Так (150 млн акаунтів, 2018)	Ні
Безкоштовна версія з підтримкою реклами	Так (багато реклами)	Ні (нульова реклама на всіх тарифах)
Модель доходу	Підписки + реклама	Лише підписки
Ціна	Безкоштовно (обмежено) / $79.99 на рік	Від €2.50 на місяць
Відстежувані нутрієнти	~6 надійно	100+
База даних продуктів	14M+ краудсорсингових записів	1.8M+ перевірених записів
AI-логування фото	Ні	Так
Логування голосом	Ні	Так
Сканування штрих-кодів	Лише преміум	Так (для всіх користувачів)
Apple Watch + Wear OS	Лише базовий Apple Watch	Підтримуються обидва
Імпорт рецептів	Так	Так (з повним харчовим розкладом)
Підтримувані мови	20+	9

Що робити, якщо ваші дані були в витоку MyFitnessPal?

Якщо у вас був акаунт MyFitnessPal до березня 2018 року, ваші дані, ймовірно, були скомпрометовані. Ось що вам слід зробити, якщо ви ще цього не зробили:

1. Змініть свій пароль MyFitnessPal, якщо ви не робили цього з моменту витоку. Використовуйте сильний, унікальний пароль.
2. Змініть паролі на будь-якому іншому сервісі, де ви використовували ту ж комбінацію електронної адреси та пароля, що й у вашому акаунті MyFitnessPal. Це найважливіший крок для запобігання атакам на основі облікових даних.
3. Увімкніть двофакторну аутентифікацію на MyFitnessPal та на всіх інших сервісах, які це підтримують.
4. Використовуйте менеджер паролів для генерації та зберігання унікальних паролів для кожного сервісу. Це забезпечить, що витік одного сервісу не скомпрометує ваші інші акаунти.
5. Перевірте haveibeenpwned.com, щоб дізнатися, чи з'явилася ваша електронна адреса у витоку MyFitnessPal або в будь-якому іншому відомому витоку даних.
6. Будьте скептичні щодо незапрошених електронних листів, пов'язаних з фітнесом, дієтами, добавками або додатками для здоров'я. Ваша електронна адреса потрапила до рук зловмисників, які знають, що ви зацікавлені в трекінгу харчування.

Часто задавані питання

Коли MyFitnessPal був зламаний?

MyFitnessPal був зламаний у лютому 2018 року. Витік був виявлений 25 березня 2018 року та публічно розкритий 29 березня 2018 року. Приблизно 150 мільйонів акаунтів користувачів були скомпрометовані, що робить це одним з найбільших витоків даних в історії на той момент. MyFitnessPal належав Under Armour під час витоку.

Які дані були вкрадені під час зламу MyFitnessPal?

Витік викрив імена користувачів, електронні адреси та захищені паролі приблизно 150 мільйонів акаунтів. Деякі паролі були захищені за допомогою bcrypt (потужний алгоритм), тоді як інші використовували SHA-1 (слабший алгоритм). Under Armour заявила, що платіжна інформація та детальні дані про здоров'я (щоденники харчування, записи ваги) не були скомпрометовані.

Чи безпечно користуватися MyFitnessPal у 2026 році?

MyFitnessPal впровадив покращення безпеки після витоку 2018 року, включаючи сильніше хешування паролів та необов'язкову двофакторну аутентифікацію. Однак зараз додаток належить приватній інвестиційній компанії, покладається на доходи від реклами з безкоштовної версії (що стимулює збір даних) і не публікує результати незалежних аудитів безпеки. Чи вважаєте ви його "безпечним", залежить від вашої особистої толерантності до ризику та від того, наскільки чутливими ви вважаєте свої дані про харчування.

Чи був MyFitnessPal зламаний більше ніж один раз?

Витік 2018 року є єдиним публічно підтвердженим великим витоком даних, що торкнувся MyFitnessPal. Однак скомпрометовані дані з витоку 2018 року згодом були продані на ринках темного вебу та з'явилися в колекціях витоків облікових даних, які циркулювали протягом років після початкового інциденту.

Як дізнатися, чи були мої дані MyFitnessPal у витоку?

Якщо у вас був акаунт MyFitnessPal до березня 2018 року, ваші дані, ймовірно, були скомпрометовані — витік скомпрометував приблизно 150 мільйонів з приблизно 150 мільйонів акаунтів, які існували на той момент. Ви можете перевірити haveibeenpwned.com, щоб підтвердити, чи з'явилася ваша електронна адреса у витоку. MyFitnessPal також надіслав електронні сповіщення постраждалим користувачам і вимагав скидання паролів.

Який трекер калорій є найбільш приватним і безпечним?

Шукайте додатки з моделями бізнесу на основі підписки та без реклами, оскільки вони мають менше стимулів для збору та монетизації даних користувачів. Nutrola працює за моделлю підписки, починаючи з €2.50 на місяць, без реклами на будь-якому тарифі, що означає, що немає збору даних, спричиненого рекламою. Додаток не продає дані користувачів третім особам. Окрім конфіденційності, Nutrola пропонує AI-потужне логування їжі (фото, голос, штрих-код), відстежує понад 100 нутрієнтів з перевіреної бази даних з 1.8 мільйона продуктів і підтримує Apple Watch, Wear OS та дев'ять мов.