Μια δημοφιλής εφαρμογή γυμναστικής με το όνομα PumpUp που ισχυρίζεται ότι έχει πάνω από έξι εκατομμύρια χρήστες, διέρρεε άθελα της ιδιωτικά και ευαίσθητα δεδομένα, συμπεριλαμβανομένων των πληροφοριών της υγείας των χρηστών καθώς και των ιδιωτικών μηνυμάτων που αποστέλλονταν εντός της εφαρμογής.
Η PumpUp με βάση το Οντάριο του Καναδά, επιτρέπει στους συνδρομητές να ανακαλύψουν νέες μεθόδους προπόνησης και να καταγράψουν τα αποτελέσματά τους, αλλά και να λάβουν συμβουλές από προπονητές γυμναστικής για το πως να βελτιωθούν.
Ωστόσο η εταιρία άφησε απροστάτευτο έναν από τους βασικούς της servers καθώς δεν του είχαν ορίσει κάποιο password. Έτσι ο οποιοσδήποτε είχε πρόσβαση στα δεδομένα του server σε πραγματικό χρόνο.
Ο ερευνητής ασφάλειας Oliver Hough βρήκε τον εκτεθειμένο server και ήλθε σε επαφή με το ZDNet για να το διερευνήσει.
Ο διακομιστής, ασφαλής πλέον, ενεργεί ως διανομέας μηνυμάτων, δηλαδή κατευθύνει τα αιτήματα των χρηστών και τα ιδιωτικά μηνύματα σε άλλους χρήστες της εφαρμογής. Όσο ο server ήταν «ξεκλείδωτος» κάθε φορά που ένας χρήστης έστελνε ένα μήνυμα σε έναν άλλο χρήστη, η εφαρμογή παρουσίαζε τα αποθηκευμένα στοιχεία του αποστολέα, τα οποία περιλάμβαναν διευθύνσεις ηλεκτρονικού ταχυδρομείου, ημερομηνίες γέννησης, φύλο, την πόλη καταγωγής, την τοποθεσία και την ζώνη ώρας του χρήστη.
Η εφαρμογή εξέδιδε επίσης πληροφορίες υγείας καταχωρημένες από τους χρήστες – όπως το ύψος, το βάρος, κατανάλωση καφεΐνης και αλκοόλ, συχνότητα του καπνίσματος, ανησυχίες για την υγεία, φάρμακα και τραυματισμούς.
Σε ορισμένες περιπτώσεις, διαπιστώθηκαν επίσης μη κρυπτογραφημένα στοιχεία πιστωτικών καρτών – συμπεριλαμβανομένων των αριθμών των καρτών, των ημερομηνιών λήξης και των αριθμών για το verification.
“Δεν είναι γνωστό για πόσο καιρό ήταν εκτεθειμένος ο server, και η εταιρία άργησε να προβεί σε αλλαγές καθώς προσπαθούσαμε να τους ενημερώσουμε για πάνω από 1 εβδομάδα μέσω τηλεφώνου, email, ακόμα και με support tickets!” δήλωσε το ZDNet.
Δεν είναι γνωστό αν η εταιρεία θα αποκαλύψει την παραβίαση των δεδομένων σε ρυθμιστικές αρχές στην Καλιφόρνια, την οποία ο νόμος ορίζει. Ωστόσο, δεδομένου του αριθμού των χρηστών της εφαρμογής που βρίσκονται στην Ευρώπη, η εταιρεία αντιμετωπίζει επίσης προβλήματα στο πλαίσιο του νέου κανονισμού εφαρμογής της ΕΕ για την γενική προστασία δεδομένων . Ο νόμος, γνωστός ως GDPR, τέθηκε σε ισχύ στις 25 Μαΐου και επιτρέπει στις ρυθμιστικές αρχές να επιβάλλουν πρόστιμα σε εταιρείες που παραβιάζουν τον νέο νόμο μέχρι και το 4% των συνολικών εσόδων της εταιρείας.
