WebsitePlanet研究團隊與安全研究人員JeremiahFowler合作,發現了壹個不受密碼保護的數據庫,其中包含超過6100萬條屬於世界各地用戶的記錄。大量暴露的記錄與物聯網健康和健身跟蹤設備有關。經過進壹步調查,有多處提到了“GetHealth”,這是壹家總部位於紐約市的公司,提供了壹個統壹的解決方案,可以從數百臺可穿戴設備、醫療設備和應用程序中訪問健康和健康數據。我立即就我的發現發送了壹份負責任的披露通知,並在第二天收到了壹份回復,感謝我的通知,並確認披露的數據已得到保護。
發現中最令人不安的部分是,許多記錄包含用戶數據,包括名字和姓氏、顯示姓名、出生日期、體重、身高、性別、地理位置等。這些信息是純文本的,而其中有壹個似乎被加密的ID。地理位置的結構與“美國/紐約”、“歐洲/都柏林”相同,用戶分布在世界各地。
在20k+記錄的有限抽樣中,壹些頂級可穿戴健康和健身追蹤者似乎是壹個“來源”。Fitbit(2021年被谷歌以21億美元收購)出現2766次,這似乎是蘋果的Healthkit17764。其他應用或設備也可能受到影響。根據GetHealth的網站,他們可以同步以下數據:23andMe、DailyMile、FatSecret、Fitbit、GoogleFit、JawboneUP、LifeFitness、MapMyFitness、MapMyWalk、Microsoft、Misfit、MovesApp、PredictBGL、Runkeeper、SonyLifelog、Strava、VitaDock、Withings、AppleHealthKit、AndroidSensor、sHealth。
AppleHealthkit可以收集更復雜的指標,包括血壓、體重、睡眠水平、血糖等。壹旦iPhone用戶允許使用蘋果的健康和健身應用程序,它就會使用手機中的傳感器、連接的可穿戴設備和智能設備來收集比許多其他設備或應用程序更多的健康數據。此操作可以在後臺和用戶授予權限的任何iPhone上靜默運行。
以下是調查結果的詳細信息:
總大小:16.71GB/總記錄:61053956暴露指數:deviceapi_FitnessDeviceAPI_heartratedeviceapi_profiledeviceapi_PulseOxdeviceapi_sleepdeviceapi_trackerdeviceapi_Weight
暴露以下內容的內部記錄:deviceapi_配置文件、類型、id、分數、來源、來源、id、體重、e_id、獲取的時間、身高、,生日、gethealthID、名、姓、顯示名、url、性別、組織id、時區。此信息可用於有針對性的網絡釣魚攻擊,或獲取有關用戶的其他健康信息。文件還顯示了數據存儲的位置,以及網絡如何從後端運行和配置的藍圖。
用戶數據如何出現在數據庫中的示例:
個人資料賬戶示例:
健身跟蹤器帶來隱私風險
健身跟蹤器的設計旨在通過提供可能表明健康風險的關鍵信息來了解和改善我們的健康。在收集用戶信息的過程中,設備必須能夠訪問關於我們的生活、健康等非常隱私的信息。
根據皮尤研究中心的壹份報告,估計美國20%的成年人擁有某種類型的可穿戴設備或健身跟蹤器。這些設備多年來將產生大量與健康相關的數據點,並產生長期隱私風險。
這些設備中的許多都不是匿名的,並且與用戶帳戶綁定,鼓勵他們在個人資料中輸入個人身份信息。這使得在數據泄露的情況下識別數據屬於誰變得極其容易。另壹個問題是,可穿戴設備沒有統壹的隱私標準,公司有可能將這些數據用於廣告、營銷或與第三方***享。另壹個需要考慮的問題是,公司將如何向用戶提供“使用終止政策”,以及這些數據將存儲多長時間?什麽是醫療器械
可穿戴設備帶來了復雜的問題
關於如何將可穿戴和健身跟蹤器或物聯網可穿戴設備視為醫療設備,存在壹些爭論。具有醫療用途的應用程序之間的界限越來越模糊。近年來,英國、美國和歐盟的監管機構試圖定義什麽是醫療器械以及應該如何對其進行監管。這些信息對醫學研究和健康與保健行業非常有價值。
美國食品和藥物管理局將FitBit指定為非處方使用軟件和II類醫療設備。2020年9月14日,Fitbit因其追蹤心律失常的心電圖功能獲得FDA許可和CE標誌批準。Fitbit的設備目前在全球收集約2900萬用戶的數據,谷歌聲稱Fitbit用戶的健康數據不會用於谷歌廣告。在許多其他領域,這項技術以犧牲用戶隱私為代價超過了法律法規。
根據Gethealth。io的網站和常見問題解答該流程符合HIPAA標準,並聲明“用戶的數據通過SSL傳輸、AES256加密、日誌記錄和監控是安全的,所有數據都以符合HIPAA標準的方式存儲和管理”
1996年《健康保險可攜帶性和責任法案》(HIPAA)是壹部美國聯邦法律,旨在保護敏感的患者健康信息不在患者同意或不知情的情況下被披露。目前沒有明確的HIPAA法規適用於可穿戴技術,只要數據用於個人用途。然而,壹旦可穿戴技術的數據被傳遞給醫療保健提供商或其他機構,它可能會受到HIPAA法規和HIPAA合規標準的約束。可穿戴設備和智能手機擁有收集患者生成的健康數據(PGHD)的技術,這些數據可能會暴露敏感的健康數據,但監管似乎遠遠落後。
大多數可穿戴式用戶認為,沒有網絡罪犯對他們采取了多少步驟或睡眠時間感興趣,但忽視數據的使用或***享方式是錯誤的。所有數據都是有價值的,隨著可穿戴設備技術的發展,在用戶身上收集的數據的類型和準確性也隨之提高。簡單的步進計數器或計步器相對無害,而壹些可穿戴設備可以識別更詳細的信息,如心率或體重指數等。理論上,健身追蹤者在數百萬用戶身上收集的詳細信息可以提供這些人及其總體健康狀況的總體描述。然後,這些數據可以用於實施其他攻擊、欺詐、勒索,或獲取更有針對性的健康信息。
收集和存儲健康數據有風險
收集的所有信息必須存儲在某個地方,這會造成漏洞和潛在的數據暴露點。醫療行業需要數據管理平臺來收集和過濾他們收集的大量數據。到2026年,全球衛生管理市場預計將增長至467億美元。隨著醫療技術行業的發展,收集和存儲的數據量也在增長。
可穿戴設備的健康數據是信息寶庫,毫無疑問將成為網絡犯罪的目標。眾所周知,衛生行業遭遇的數據泄露比任何其他行業都多。根據Trustwave的壹份報告,醫療保健數據在黑市或黑暗網絡上的售價最高可達每張記錄250美元。與信用卡記錄的估值約為5.40美元相比,這是壹筆可觀的金額。
目前尚不清楚這些記錄被暴露了多長時間,也不清楚還有誰可以訪問數據集。作為安全研究人員,我們從不提取或下載我們找到的數據,只拍攝有限數量的屏幕截圖進行驗證。我們沒有暗示Gethealth、其客戶或合作夥伴有任何不當行為。我們也不是在暗示任何客戶或用戶數據都存在風險。在數據庫被禁止公眾訪問之前,我們無法確定受影響個人的確切數量。我們只是強調我們的發現,以提高人們對物聯網、可穿戴設備、健身和健康跟蹤器帶來的危險和網絡安全漏洞的認識,以及這些數據的存儲方式。我們建議任何公司或組織加密敏感數據,制定網絡衛生措施,並經常進行滲透測試。