لماذا تعرضت MyFitnessPal للاختراق؟ شرح خرق بيانات 150 مليون حساب

في عام 2018، تعرضت MyFitnessPal لأحد أكبر خروقات البيانات في التاريخ. تم اختراق 150 مليون حساب. إليك ما حدث بالضبط، وما البيانات التي تم كشفها، وما إذا كانت آمنة الآن، ولماذا تعتبر خصوصية بيانات الصحة أكثر أهمية من أي وقت مضى.

Medically reviewed by Dr. Emily Torres, Registered Dietitian Nutritionist (RDN)

في فبراير 2018، تمكن شخص ما من اختراق أنظمة MyFitnessPal وسرقة بيانات حسابات حوالي 150 مليون مستخدم. تم اختراق أسماء المستخدمين، وعناوين البريد الإلكتروني، وكلمات المرور المشفرة. في ذلك الوقت، كان هذا الخرق واحدًا من أكبر عشرة خروقات بيانات في التاريخ. لم تكتشف الشركة الخرق حتى مارس 2018، مما يعني أن المهاجمين كانوا قادرين على الوصول إلى بيانات المستخدمين لمدة تقارب الشهر قبل أن يتم ملاحظته.

إذا كنت قد استخدمت MyFitnessPal قبل مارس 2018، فمن المؤكد تقريبًا أن بياناتك كانت جزءًا من هذا الخرق. وإذا كنت لا تزال تتساءل لماذا أصبح تطبيق تتبع السعرات الحرارية هدفًا لأحد أكبر الاختراقات المسجلة، فإن الإجابة تكشف بعض الحقائق المزعجة حول كيفية تعامل تطبيقات الصحة واللياقة البدنية مع بياناتك.

تتناول هذه المقالة ما حدث بالضبط، وما البيانات التي تم كشفها، وما الذي لم يتم كشفه، وما إذا كانت MyFitnessPal آمنة للاستخدام اليوم، ولماذا يجب أن تكون خصوصية بيانات الصحة عاملًا حاسمًا في اختيار التطبيق الغذائي الذي تثق به.

ماذا حدث في خرق بيانات MyFitnessPal؟

إليك تسلسل الأحداث كما حدثت:

الخرق: فبراير 2018

في أواخر فبراير 2018، تمكن طرف غير مصرح له من الوصول إلى بيانات حسابات مستخدمي MyFitnessPal. لم يتم الكشف عن الطريقة الدقيقة للاختراق للجمهور. ما هو معروف هو أن المهاجم تمكن من استخراج مجموعة ضخمة من البيانات تحتوي على معلومات حسابات حوالي 150 مليون مستخدم.

في ذلك الوقت، كانت MyFitnessPal مملوكة لشركة Under Armour، التي استحوذت على التطبيق في عام 2015 مقابل 475 مليون دولار. كانت Under Armour مسؤولة عن أمان بنية MyFitnessPal التحتية.

الاكتشاف: 25 مارس 2018

حدد فريق أمان MyFitnessPal الخرق في 25 مارس 2018 - بعد حوالي أربعة أسابيع من حدوث الاختراق. الفجوة التي استمرت أربعة أسابيع بين الخرق والاكتشاف ليست غير عادية بالنسبة لخروقات البيانات بهذا الحجم، لكنها تعني أن المهاجم كان لديه أسابيع من الوصول غير المكتشف إلى بيانات المستخدمين.

الكشف العام: 29 مارس 2018

أعلنت Under Armour عن الخرق علنًا في 29 مارس 2018، بعد أربعة أيام فقط من اكتشافه. قامت الشركة بإخطار المستخدمين المتأثرين عبر البريد الإلكتروني ورسائل داخل التطبيق، مما استلزم إعادة تعيين كلمات المرور لجميع الحسابات.

العواقب

انخفض سهم Under Armour بنسبة تقارب 3.8% في الأيام التي تلت الكشف. ساهم الخرق في زيادة المخاوف بشأن استراتيجية Under Armour الرقمية في مجال اللياقة البدنية وتكاليف الحفاظ على قاعدة مستخدمين ضخمة. بعد عامين، ستبيع Under Armour MyFitnessPal لشركة Francisco Partners مقابل 345 مليون دولار - أي أقل بمقدار 130 مليون دولار من سعر الشراء الأصلي.

ما البيانات التي تم كشفها في اختراق MyFitnessPal؟

فهم ما تم اختراقه بالضبط - وما لم يتم اختراقه - أمر مهم لتقييم المخاطر.

البيانات التي تم اختراقها

  • أسماء المستخدمين. أسماء الحسابات المستخدمة لتسجيل الدخول إلى MyFitnessPal.
  • عناوين البريد الإلكتروني. عناوين البريد الإلكتروني المرتبطة بكل حساب.
  • كلمات المرور المشفرة. لم يتم تخزين كلمات المرور كنص عادي. تم تشفيرها باستخدام bcrypt، وهو خوارزمية تشفير قوية. ومع ذلك، تم تشفير بعض كلمات المرور باستخدام SHA-1، وهي خوارزمية أضعف وأكثر عرضة للاختراق.

البيانات التي لم يتم اختراقها (وفقًا لـ Under Armour)

  • معلومات الدفع. أفادت Under Armour أن بيانات بطاقات الدفع لم تتأثر لأنها تم جمعها ومعالجتها بشكل منفصل.
  • المعرفات الحكومية. لم يتم تخزين أرقام الضمان الاجتماعي، وأرقام رخص القيادة، والمعرفات المماثلة من قبل MyFitnessPal وبالتالي لم تتعرض للكشف.
  • بيانات الصحة التفصيلية. أفادت Under Armour أن الخرق شمل بيانات اعتماد الحساب، وليس بيانات يوميات الطعام، أو سجلات الوزن، أو المعلومات الغذائية المخزنة داخل التطبيق.

لماذا يهم هذا حتى لو كانت "فقط" عناوين البريد الإلكتروني وكلمات المرور قد تم كشفها

من المغري تجاهل الخرق باعتباره "فقط" أسماء مستخدمين وكلمات مرور. لكن التأثير الواقعي لهذا النوع من كشف البيانات كبير:

  • هجمات ملء بيانات الاعتماد. العديد من الأشخاص يعيدون استخدام كلمات المرور عبر خدمات متعددة. يمكن للمهاجمين الذين تمكنوا من فك تشفير كلمات المرور المشفرة استخدامها للوصول إلى حسابات أخرى - البريد الإلكتروني، والبنوك، ووسائل التواصل الاجتماعي، والتسوق - حيث تم استخدام نفس مجموعة البريد الإلكتروني وكلمة المرور.
  • حملات التصيد. مع تأكيد 150 مليون عنوان بريد إلكتروني مرتبط بتطبيق صحي ولياقي، كان لدى المهاجمين قائمة مستهدفة لرسائل التصيد المتعلقة بالصحة، واللياقة، والمكملات، والحمية. يمكن أن تكون هذه الرسائل مقنعة للغاية لأن المهاجم كان يعرف أن المستلم يستخدم تطبيق تتبع السعرات الحرارية.
  • بيانات تُباع في الويب المظلم. ظهرت بيانات MyFitnessPal المسروقة في أسواق الويب المظلم. في عام 2019، تم عرض مجموعة من قواعد البيانات المخترقة بما في ذلك بيانات MyFitnessPal للبيع مقابل حوالي 20,000 دولار في العملات المشفرة.

لماذا كانت MyFitnessPal هدفًا؟

قد يبدو أن تطبيق تتبع السعرات الحرارية هدف غير عادي للقراصنة مقارنة بالبنوك أو تجار التجزئة. لكن هناك أسباب محددة جعلت MyFitnessPal جذابة للمهاجمين.

حجم قاعدة المستخدمين

مع أكثر من 150 مليون حساب في ذلك الوقت، كانت MyFitnessPal تمتلك واحدة من أكبر قواعد بيانات المستخدمين لأي تطبيق استهلاكي. بالنسبة للمهاجمين الذين يركزون على سرقة بيانات الاعتماد، جعل الحجم الهائل لمجموعات البريد الإلكتروني وكلمات المرور منها هدفًا ذا قيمة عالية بغض النظر عن ما يقوم به التطبيق نفسه.

بيانات الصحة لها قيمة فريدة

تزداد قيمة بيانات الصحة واللياقة في اقتصاد البيانات. يمكن استخدام المعلومات حول ما يأكله الناس، وكم وزنهم، وأهداف لياقتهم، وأنماطهم الغذائية في الإعلانات المستهدفة، وتقييمات التأمين، والهندسة الاجتماعية. بينما أفادت Under Armour أن بيانات يوميات الطعام لم تتعرض للاختراق في خرق 2018، فإن مجرد وجود مستودع ضخم لبيانات الصحة يجعل المنصة هدفًا.

الأمان لم يكن أولوية

كانت Under Armour شركة ملابس رياضية، وليست شركة تكنولوجيا أو أمان. عندما استحوذت على MyFitnessPal في عام 2015، كان التركيز على زيادة قاعدة المستخدمين ودمج التطبيق مع نظام Under Armour البيئي لللياقة البدنية. لم يكن الاستثمار في بنية الأمان أولوية رئيسية.

استخدام خوارزمية SHA-1 لتشفير بعض كلمات المرور هو تفصيل يدل على ذلك. كانت SHA-1 تعتبر ضعيفة من الناحية التشفيرية لسنوات قبل خرق 2018. كانت أفضل الممارسات تدعو إلى استخدام bcrypt أو خوارزميات تشفير قوية مماثلة. إن حقيقة أن بعض كلمات مرور MyFitnessPal لا تزال مشفرة باستخدام SHA-1 تشير إلى أن ترقيات الأمان لم تكن أولوية.

هل تحسنت أمان MyFitnessPal منذ الخرق؟

هذا هو السؤال الذي يحتاجه المستخدمون الحاليون والمحتملون للإجابة عليه. الجواب القصير: قامت MyFitnessPal بإجراء تحسينات، لكن تاريخ ملكية التطبيق ونموذج عمله يثيران تساؤلات مستمرة.

ما الذي تغير بعد الخرق

بعد خرق 2018، نفذت MyFitnessPal عدة تحسينات أمنية:

  • إعادة تعيين كلمات المرور لجميع الحسابات المتأثرة
  • مراقبة معززة للوصول غير المصرح به
  • الانتقال إلى خوارزميات تشفير أقوى لكلمات المرور
  • تمت إضافة المصادقة الثنائية كخيار في النهاية

ما الذي لم يتغير

على الرغم من هذه التحسينات، لا تزال هناك عدة مخاوف هيكلية:

  • لا تشفير شامل لبيانات الصحة. تخزن MyFitnessPal بيانات يوميات الطعام، وسجلات الوزن، والمعلومات الغذائية على خوادمها. هذه البيانات ليست مشفرة بشكل شامل، مما يعني أن الشركة (وأي مهاجم يحصل على وصول إلى الخادم) يمكنه قراءتها.
  • مالك جديد بأولويات مختلفة. تركز شركة Francisco Partners، التي استحوذت على MyFitnessPal في عام 2020، على توليد الإيرادات. يتنافس الاستثمار في الأمان مع أولويات أخرى في هذا النموذج.
  • جمع البيانات المدعوم بالإعلانات. يتم دعم الطبقة المجانية من MyFitnessPal بالإعلانات. تجمع التطبيقات المدعومة بالإعلانات بشكل طبيعي المزيد من بيانات المستخدمين لتقديم إعلانات مستهدفة. يعني المزيد من جمع البيانات سطح هجوم أكبر والمزيد من البيانات المعرضة للخطر في حالة حدوث خرق محتمل.
  • لا تدقيقات أمنية عامة. لا تنشر MyFitnessPal نتائج تدقيق أمني مستقل. يتعين على المستخدمين الثقة في مزاعم الشركة حول تحسينات الأمان دون تحقق من طرف ثالث.

لماذا تعتبر خصوصية بيانات الصحة مهمة؟

إذا كنت تتبع ما تأكله، وكم وزنك، وقياسات جسمك، وأهداف لياقتك، وأنماطك الغذائية في تطبيق، فإنك تقوم بإنشاء ملف صحي مفصل. هذه البيانات أكثر حساسية مما يدركه الكثيرون.

بيانات الصحة شخصية بشكل فريد

تكشف يوميات طعامك عن أكثر من مجرد حسابات السعرات الحرارية. تكشف عن حالات طبية (تتبع الطعام لإدارة السكري أو أمراض الكلى)، وأنماط الصحة النفسية (الأكل القهري، التقييد، الأكل العاطفي)، والحالة الإنجابية (تغييرات النظام الغذائي المتعلقة بالحمل)، والممارسات الدينية (أنماط الصيام)، والمعلومات الاجتماعية والاقتصادية (تعكس خيارات الطعام مستوى الدخل)، والمزيد.

هذه ليست بيانات تريد أن تتعرض للكشف في خرق، أو تُباع لوكلاء البيانات، أو تُستخدم في تقييمات التأمين.

خصوصية بيانات الصحة هي قضية قانونية متزايدة

تتزايد القوانين المتعلقة بخصوصية بيانات الصحة عالميًا. يوفر قانون حماية البيانات العامة في الاتحاد الأوروبي (GDPR) حماية قوية للبيانات المتعلقة بالصحة. في الولايات المتحدة، يحمي قانون HIPAA السجلات الطبية، لكنه لا يغطي البيانات المدخلة طواعية في التطبيقات الاستهلاكية مثل MyFitnessPal. يخلق هذا فجوة حيث تكون المعلومات الصحية الحساسة أقل حماية قانونيًا من ملفك الطبي.

نموذج العمل مهم

كيف تكسب الشركة المال يؤثر مباشرة على كيفية تعاملها مع بياناتك. التطبيقات التي تعتمد على إيرادات الإعلانات لديها حافز مالي لجمع أكبر قدر ممكن من بيانات المستخدمين ومشاركتها مع شركاء الإعلانات. التطبيقات التي تعتمد على الاشتراكات لديها حافز مالي لحماية بيانات المستخدمين لأن إيراداتها تأتي من ثقة المستخدمين، وليس من استغلال البيانات.

هذا التمييز حاسم عند اختيار تطبيق صحي.

كيفية تقييم أمان بيانات تطبيق التغذية

إذا جعلتك خرق MyFitnessPal تفكر مرتين بشأن مكان تخزين بيانات صحتك، إليك ما يجب البحث عنه عند تقييم البدائل:

أسئلة رئيسية حول الأمان والخصوصية

العامل ما يجب البحث عنه علامة حمراء
نموذج العمل يعتمد على الاشتراك، بدون إعلانات طبقة مجانية مدعومة بالإعلانات مع مشاركة البيانات
تشفير البيانات تشفير شامل لبيانات الصحة لا تشفير أو فقط على مستوى الخادم
سياسة الخصوصية واضحة، محددة، وسهلة القراءة لغة غامضة حول "الشركاء" و"الأطراف الثالثة"
حذف البيانات سهل حذف جميع بياناتك بشكل دائم لا توجد عملية حذف واضحة
مشاركة البيانات مع أطراف ثالثة مشاركة بيانات ضئيلة أو معدومة مع أطراف ثالثة مشاركة البيانات مع المعلنين أو الوسطاء
تدقيقات الأمان تدقيقات أمنية مستقلة منتظمة لا توجد معلومات تدقيق عامة
تاريخ الخرق سجل نظيف أو شفاف بشأن الحوادث السابقة تاريخ من الخروقات مع إفصاح ضعيف
موقع البيانات خوادم في ولايات قضائية ذات قوانين خصوصية قوية لا توجد معلومات حول موقع البيانات

كيف تتعامل Nutrola مع خصوصية البيانات

تعمل Nutrola على نموذج اشتراك يبدأ من 2.50 يورو شهريًا بدون إعلانات في جميع مستويات الأسعار. هذا فرق أساسي عن التطبيقات المدعومة بالإعلانات مثل الطبقة المجانية من MyFitnessPal. عندما لا توجد إعلانات، لا يوجد حافز لجمع بيانات المستخدمين لأغراض إعلانية. يوميات طعامك، وسجلات الوزن، وبياناتك الغذائية موجودة لخدمتك، وليس لتصنيفك للمعلنين.

لا تبيع Nutrola بيانات المستخدمين لأطراف ثالثة. تأتي إيرادات التطبيق بالكامل من الاشتراكات، مما يعني أن نموذج العمل متوافق مع خصوصية المستخدمين بدلاً من أن يكون معارضًا لها. عندما تكسب الشركة المال من خلال إبقاء المستخدمين سعداء وموثوقين، فإن لديها كل الأسباب لحماية بياناتهم. عندما تكسب الشركة المال من خلال استغلال بيانات المستخدمين عبر الإعلانات، فإن الحوافز تتجه في الاتجاه المعاكس.

مقارنة: MyFitnessPal مقابل Nutrola من حيث الخصوصية والميزات

العامل MyFitnessPal Nutrola
تاريخ خرق بيانات كبير نعم (150 مليون حساب، 2018) لا
طبقة مجانية مدعومة بالإعلانات نعم (إعلانات كثيفة) لا (بدون إعلانات في جميع الطبقات)
نموذج الإيرادات اشتراكات + إعلانات اشتراكات فقط
السعر مجاني (محدود) / 79.99 دولار سنويًا من 2.50 يورو شهريًا
العناصر الغذائية المتعقبة ~6 بشكل موثوق 100+
قاعدة بيانات الطعام 14 مليون+ إدخال من الجمهور 1.8 مليون+ إدخال موثق
تسجيل الطعام بالذكاء الاصطناعي لا نعم
تسجيل الصوت لا نعم
مسح الباركود فقط للمستخدمين المميزين نعم (لكل المستخدمين)
دعم Apple Watch + Wear OS دعم أساسي لـ Apple Watch فقط كلاهما مدعوم
استيراد الوصفات نعم نعم (مع تحليل غذائي كامل)
اللغات المدعومة 20+ 9

ماذا يجب أن تفعل إذا كانت بياناتك في خرق MyFitnessPal؟

إذا كان لديك حساب على MyFitnessPal قبل مارس 2018، فمن المحتمل أن بياناتك قد تعرضت للاختراق. إليك ما يجب عليك فعله إذا لم تكن قد قمت بذلك بالفعل:

  1. قم بتغيير كلمة مرور MyFitnessPal إذا لم تكن قد فعلت ذلك منذ الخرق. استخدم كلمة مرور قوية وفريدة.
  2. قم بتغيير كلمات المرور على أي خدمة أخرى حيث استخدمت نفس مجموعة البريد الإلكتروني وكلمة المرور مثل حساب MyFitnessPal الخاص بك. هذه هي الخطوة الأكثر أهمية لمنع هجمات ملء بيانات الاعتماد.
  3. قم بتمكين المصادقة الثنائية على MyFitnessPal وعلى كل خدمة أخرى تدعم ذلك.
  4. استخدم مدير كلمات المرور لإنشاء وتخزين كلمات مرور فريدة لكل خدمة. يضمن ذلك أن خرق خدمة واحدة لا يعرض حساباتك الأخرى للخطر.
  5. تحقق من haveibeenpwned.com لمعرفة ما إذا كان عنوان بريدك الإلكتروني قد ظهر في خرق MyFitnessPal أو أي خرق بيانات معروف آخر.
  6. كن متشككًا في الرسائل الإلكترونية غير المرغوب فيها المتعلقة باللياقة، والحمية، والمكملات، أو تطبيقات الصحة. عنوان بريدك الإلكتروني في أيدي المهاجمين الذين يعرفون أنك مهتم بتتبع التغذية.

الأسئلة الشائعة

متى تم اختراق MyFitnessPal؟

تم اختراق MyFitnessPal في فبراير 2018. تم اكتشاف الخرق في 25 مارس 2018، وتم الكشف عنه علنًا في 29 مارس 2018. تم اختراق حوالي 150 مليون حساب مستخدم، مما جعله واحدًا من أكبر خروقات البيانات في التاريخ في ذلك الوقت. كانت MyFitnessPal مملوكة لشركة Under Armour خلال فترة الخرق.

ما البيانات التي سُرقت في اختراق MyFitnessPal؟

كشف الخرق عن أسماء المستخدمين، وعناوين البريد الإلكتروني، وكلمات المرور المشفرة لحوالي 150 مليون حساب. تم تشفير بعض كلمات المرور باستخدام bcrypt (خوارزمية قوية) بينما استخدمت أخرى SHA-1 (خوارزمية أضعف). أفادت Under Armour أن معلومات الدفع وبيانات الصحة التفصيلية (يوميات الطعام، وسجلات الوزن) لم تتعرض للاختراق.

هل MyFitnessPal آمنة للاستخدام في عام 2026؟

نفذت MyFitnessPal تحسينات أمنية بعد خرق 2018، بما في ذلك تشفير كلمات المرور بشكل أقوى وخيار المصادقة الثنائية. ومع ذلك، فإن التطبيق مملوك الآن لشركة استثمار خاصة، ويعتمد على إيرادات الإعلانات من الطبقة المجانية (التي تحفز جمع البيانات)، ولا تنشر نتائج تدقيق أمني مستقل. ما إذا كنت تعتبرها "آمنة" يعتمد على تحملك الشخصي للمخاطر ومدى حساسية بيانات التغذية الخاصة بك.

هل تم اختراق MyFitnessPal أكثر من مرة؟

يعد خرق 2018 هو الخرق الكبير الوحيد المؤكد علنًا الذي يؤثر على MyFitnessPal. ومع ذلك، تم بيع البيانات المخترقة من خرق 2018 لاحقًا في أسواق الويب المظلم وظهرت في مجموعات بيانات تم تسريبها استمرت في التداول لسنوات بعد الحادث الأصلي.

كيف أعرف ما إذا كانت بياناتي في خرق MyFitnessPal؟

إذا كان لديك حساب على MyFitnessPal قبل مارس 2018، فمن المؤكد تقريبًا أن بياناتك قد تأثرت - فقد تم اختراق حوالي 150 مليون من حوالي 150 مليون حساب كانت موجودة في ذلك الوقت. يمكنك التحقق من haveibeenpwned.com لتأكيد ما إذا كان عنوان بريدك الإلكتروني قد ظهر في الخرق. كما أرسلت MyFitnessPal إشعارات بريد إلكتروني للمستخدمين المتأثرين وطلبت إعادة تعيين كلمات المرور.

أي متتبع سعرات حرارية هو الأكثر خصوصية وأمانًا؟

ابحث عن التطبيقات التي تعتمد على نماذج أعمال قائمة على الاشتراك وبدون إعلانات، حيث إن لديها حافز أقل لجمع واستغلال بيانات المستخدمين. تعمل Nutrola على نموذج اشتراك يبدأ من 2.50 يورو شهريًا بدون إعلانات في أي طبقة، مما يعني عدم وجود جمع بيانات مدفوع بالإعلانات. لا يبيع التطبيق بيانات المستخدمين لأطراف ثالثة. بالإضافة إلى الخصوصية، تقدم Nutrola تسجيل طعام مدعوم بالذكاء الاصطناعي (صورة، صوت، باركود)، وتتبع أكثر من 100 عنصر غذائي من قاعدة بيانات موثوقة تضم 1.8 مليون طعام، وتدعم Apple Watch وWear OS، وتسع لغات.

مستعد لتحويل تتبع تغذيتك؟

انضم إلى الآلاف الذين حولوا رحلتهم الصحية مع Nutrola!

App Store logo
Download on theApp Store
Google Play logo
GET IT ONGoogle Play