iOS-Fitness-App Fitify legt 138.000 private Fotos von Nutzern offen

Das Forschungsteam von Cybernews hat einen Datenleck bei Fitify aufgedeckt, einer beliebten Fitness-App mit weltweit über 25 Millionen Installationen. Die Forscher entdeckten, dass 373.000 sensible Benutzerdateien – darunter 138.000 Fortschrittsfotos – in einem öffentlich zugänglichen Google Cloud-Bucket gespeichert waren, ohne Passwortschutz oder Verschlüsselung im Ruhezustand, sodass jeder darauf zugreifen konnte.

Unter den geleakten Dateien befanden sich:

206.000 Nutzerprofilfotos
138.000 von Nutzern hochgeladene Fortschrittsbilder zur Verfolgung von Fitnessfortschritten
13.000 Anhänge mit Nachrichten des KI-Coaches, die Bilder oder Text enthalten können
6.000 Körperscan-Dateien, darunter Fotos und KI-generierte Metadaten (z. B. Muskelmasse, Körperfett, Körperhaltung)

Wichtigste Ergebnisse der Untersuchung

Viele der veröffentlichten Fotos waren halbnackte Körperscans, die von Nutzern aufgenommen wurden, um Gewichtsverlust oder Muskelaufbau zu dokumentieren.
Fitify verspricht eine Verschlüsselung während der Übertragung, aber das Fehlen grundlegender Zugriffskontrollen birgt erhebliche Datenschutzrisiken.
Die Forscher fanden außerdem fest codierte Geheimnisse im Code der App – darunter Google-API- und Client-IDs, Firebase-Datenbank-URLs, Facebook-Tokens und sogar einen Algolia-API-Schlüssel, der in der Datenschutzerklärung nicht angegeben war.
Diese offengelegten Anmeldedaten könnten Angreifern den Zugriff auf die Backend-Infrastruktur ermöglichen, sie könnten sich als Nutzer ausgeben oder bösartige Inhalte

Quelle: Cybernews

Bild/Quelle: https://depositphotos.com/de/home.html