Warum wurde MyFitnessPal gehackt? Die Erklärung des Datenlecks von 150 Millionen Konten

Im Februar 2018 drang eine unbefugte Person in die Systeme von MyFitnessPal ein und stahl die Kontodaten von etwa 150 Millionen Nutzern. Benutzernamen, E-Mail-Adressen und gehashte Passwörter – alles war betroffen. Zu diesem Zeitpunkt war es eines der zehn größten Datenlecks in der Geschichte. Das Unternehmen entdeckte den Vorfall erst im März 2018, was bedeutete, dass die Angreifer etwa einen Monat lang Zugriff auf die Nutzerdaten hatten, bevor jemand etwas bemerkte.

Wenn Sie MyFitnessPal vor März 2018 genutzt haben, war Ihre Daten höchstwahrscheinlich Teil dieses Lecks. Und falls Sie sich immer noch fragen, warum eine Kalorienzähler-App das Ziel eines der größten Hacks aller Zeiten wurde, offenbart die Antwort einige unangenehme Wahrheiten darüber, wie Gesundheits- und Fitness-Apps mit Ihren Daten umgehen.

Dieser Artikel erklärt genau, was passiert ist, welche Daten betroffen waren, welche nicht, ob MyFitnessPal heute sicher zu nutzen ist und warum der Datenschutz im Gesundheitsbereich ein entscheidendes Kriterium bei der Wahl einer Ernährungs-App sein sollte.

Was geschah beim MyFitnessPal-Datenleck?

Hier ist der Zeitablauf der Ereignisse:

Der Vorfall: Februar 2018

Ende Februar 2018 erhielt eine unbefugte Partei Zugriff auf die Kontodaten von MyFitnessPal-Nutzern. Die genaue Methode des Eindringens wurde der Öffentlichkeit nie vollständig offengelegt. Bekannt ist jedoch, dass der Angreifer in der Lage war, einen massiven Datensatz mit Kontoinformationen von etwa 150 Millionen Nutzern zu extrahieren.

Zu diesem Zeitpunkt gehörte MyFitnessPal zu Under Armour, das die App 2015 für 475 Millionen Dollar erworben hatte. Under Armour war für die Sicherheit der Infrastruktur von MyFitnessPal verantwortlich.

Entdeckung: 25. März 2018

Das Sicherheitsteam von MyFitnessPal identifizierte den Vorfall am 25. März 2018 – etwa vier Wochen nach dem Eindringen. Eine vierwöchige Lücke zwischen Vorfall und Entdeckung ist für Datenlecks dieser Größenordnung nicht ungewöhnlich, bedeutet jedoch, dass der Angreifer wochenlang unentdeckt auf die Nutzerdaten zugreifen konnte.

Öffentliche Bekanntgabe: 29. März 2018

Under Armour gab den Vorfall am 29. März 2018 öffentlich bekannt, nur vier Tage nach der Entdeckung. Das Unternehmen informierte betroffene Nutzer per E-Mail und In-App-Nachrichten und forderte alle Nutzer zur Passwortänderung auf.

Die Folgen

Der Aktienkurs von Under Armour fiel in den Tagen nach der Bekanntgabe um etwa 3,8 %. Das Datenleck trug zu wachsenden Bedenken über die digitale Fitnessstrategie von Under Armour und die Kosten für die Verwaltung einer riesigen Nutzerdatenbank bei. Zwei Jahre später verkaufte Under Armour MyFitnessPal für 345 Millionen Dollar an Francisco Partners – 130 Millionen Dollar weniger als der ursprüngliche Kaufpreis.

Welche Daten wurden beim MyFitnessPal-Hack kompromittiert?

Es ist wichtig zu verstehen, welche Daten genau betroffen waren – und welche nicht –, um das Risiko einschätzen zu können.

Kompromittierte Daten

• Benutzernamen. Die Kontonamen, die zum Einloggen in MyFitnessPal verwendet wurden.
• E-Mail-Adressen. Die mit jedem Konto verknüpften E-Mail-Adressen.
• Gehashte Passwörter. Die Passwörter wurden nicht im Klartext gespeichert, sondern mit bcrypt, einem starken Hash-Algorithmus, gehasht. Einige Passwörter wurden jedoch mit SHA-1 gehasht, einem schwächeren Algorithmus, der anfälliger für Angriffe ist.

Nicht kompromittierte Daten (laut Under Armour)

• Zahlungsinformationen. Under Armour erklärte, dass Zahlungsdaten nicht betroffen waren, da diese separat erfasst und verarbeitet wurden.
• Vom Staat ausgegebene Identifikatoren. Sozialversicherungsnummern, Führerscheinnummern und ähnliche Identifikatoren wurden von MyFitnessPal nicht gespeichert und waren daher nicht betroffen.
• Detaillierte Gesundheitsdaten. Under Armour stellte klar, dass der Vorfall Kontodaten betraf, nicht die im App gespeicherten Ernährungsprotokolle, Gewichtsdaten oder Nährstoffinformationen.

Warum das wichtig ist, auch wenn „nur“ E-Mails und Passwörter betroffen waren

Es ist verlockend, den Vorfall als „nur“ Benutzernamen und Passwörter abzutun. Doch die realen Auswirkungen dieser Art von Datenexposition sind erheblich:

• Credential Stuffing-Angriffe. Viele Menschen verwenden Passwörter mehrfach für verschiedene Dienste. Angreifer, die die gehashten Passwörter geknackt haben, könnten diese nutzen, um auf andere Konten – E-Mail, Banking, soziale Medien, Online-Shopping – zuzugreifen, bei denen dieselbe E-Mail- und Passwortkombination verwendet wurde.
• Phishing-Kampagnen. Mit 150 Millionen bestätigten E-Mail-Adressen, die mit einer Gesundheits- und Fitness-App verknüpft sind, hatten Angreifer eine gezielte Liste für Phishing-E-Mails zu Gesundheit, Fitness, Nahrungsergänzungsmitteln und Diäten. Diese E-Mails könnten sehr überzeugend sein, da der Angreifer wusste, dass der Empfänger eine Kalorienzähler-App verwendet.
• Datenverkauf im Dark Web. Die gestohlenen MyFitnessPal-Daten tauchten auf Dark-Web-Marktplätzen auf. Im Jahr 2019 wurde eine Sammlung von gehackten Datenbanken, die auch MyFitnessPal-Daten enthielt, für etwa 20.000 Dollar in Kryptowährung zum Verkauf angeboten.

Warum war MyFitnessPal ein Ziel?

Eine Kalorienzähler-App mag im Vergleich zu Banken oder Einzelhändlern ein ungewöhnliches Ziel für Hacker erscheinen. Doch es gibt spezifische Gründe, warum MyFitnessPal für Angreifer attraktiv war.

Die Größe der Nutzerbasis

Mit über 150 Millionen Konten zu diesem Zeitpunkt hatte MyFitnessPal eine der größten Nutzerdatenbanken aller Verbraucher-Apps. Für Angreifer, die auf die Entwendung von Anmeldedaten aus sind, machte die schiere Menge an E-Mail- und Passwortkombinationen es zu einem hochgradig wertvollen Ziel, unabhängig davon, was die App selbst tat.

Gesundheitsdaten haben einen einzigartigen Wert

Gesundheits- und Fitnessdaten sind in der Datenwirtschaft zunehmend wertvoll. Informationen darüber, was Menschen essen, wie viel sie wiegen, ihre Fitnessziele und ihre Ernährungsgewohnheiten können für gezielte Werbung, Versicherungsprofiling und Social Engineering genutzt werden. Während Under Armour erklärte, dass die Ernährungsprotokolle im Datenleck von 2018 nicht kompromittiert wurden, macht die bloße Existenz eines massiven Gesundheitsdatenrepositories die Plattform zu einem Ziel.

Sicherheit war nicht die Priorität

Under Armour war ein Sportbekleidungsunternehmen, kein Technologie- oder Sicherheitsunternehmen. Als es MyFitnessPal 2015 erwarb, lag der Fokus darauf, die Nutzerbasis zu vergrößern und die App in das Fitness-Ökosystem von Under Armour zu integrieren. Investitionen in die Sicherheitsinfrastruktur hatten keine hohe Priorität.

Die Verwendung von SHA-1-Hashing für einige Passwörter ist ein aufschlussreiches Detail. SHA-1 galt bereits seit Jahren als kryptografisch schwach, bevor das Datenleck von 2018 auftrat. Best Practices empfahlen bcrypt oder ähnliche starke Hash-Algorithmen. Die Tatsache, dass einige MyFitnessPal-Passwörter weiterhin mit SHA-1 gehasht wurden, deutet darauf hin, dass Sicherheitsupgrades nicht priorisiert wurden.

Hat sich die Sicherheit von MyFitnessPal seit dem Vorfall verbessert?

Das ist die Frage, die aktuelle und potenzielle Nutzer am dringendsten beantwortet haben möchten. Die kurze Antwort: MyFitnessPal hat Verbesserungen vorgenommen, aber die Geschichte des App-Besitzes und das Geschäftsmodell werfen weiterhin Fragen auf.

Was sich nach dem Vorfall geändert hat

Nach dem Datenleck von 2018 implementierte MyFitnessPal mehrere Sicherheitsverbesserungen:

• Obligatorische Passwortänderungen für alle betroffenen Konten
• Erweiterte Überwachung auf unbefugten Zugriff
• Migration zu stärkeren Hash-Algorithmen für Passwörter
• Zwei-Faktor-Authentifizierung wurde schließlich als Option hinzugefügt

Was sich nicht geändert hat

Trotz dieser Verbesserungen bleiben mehrere strukturelle Bedenken bestehen:

• Keine End-to-End-Verschlüsselung für Gesundheitsdaten. MyFitnessPal speichert Ernährungsprotokolle, Gewichtsdaten und Nährstoffinformationen auf seinen Servern. Diese Daten sind nicht end-to-end verschlüsselt, was bedeutet, dass das Unternehmen (und jeder Angreifer, der Zugriff auf den Server erhält) sie lesen kann.
• Ein neuer Eigentümer mit anderen Prioritäten. Francisco Partners, die Private-Equity-Firma, die MyFitnessPal 2020 erwarb, konzentriert sich auf die Generierung von Einnahmen. Investitionen in die Sicherheit konkurrieren in diesem Modell mit anderen Prioritäten.
• Werbefinanzierte Datensammlung. Die kostenlose Version von MyFitnessPal wird durch Werbung unterstützt. Werbefinanzierte Apps sammeln von Natur aus mehr Nutzerdaten, um gezielte Werbung zu schalten. Mehr Datensammlung bedeutet eine größere Angriffsfläche und mehr Daten, die im Falle eines möglichen Datenlecks gefährdet sind.
• Keine öffentlichen Sicherheitsprüfungen. MyFitnessPal veröffentlicht keine Ergebnisse unabhängiger Sicherheitsprüfungen. Nutzer müssen den Aussagen des Unternehmens über Sicherheitsverbesserungen ohne externe Überprüfung vertrauen.

Warum ist der Datenschutz im Gesundheitsbereich wichtig?

Wenn Sie verfolgen, was Sie essen, wie viel Sie wiegen, Ihre Körpermaße, Ihre Fitnessziele und Ihre Ernährungsgewohnheiten in einer App, erstellen Sie ein detailliertes Gesundheitsprofil. Diese Daten sind sensibler, als viele Menschen realisieren.

Gesundheitsdaten sind einzigartig persönlich

Ihr Ernährungsprotokoll offenbart weit mehr als nur Kalorienzahlen. Es gibt Aufschluss über medizinische Bedingungen (Verfolgung von Lebensmitteln zur Diabetes-Management oder Nierenerkrankungen), Muster der psychischen Gesundheit (Essanfälle, Einschränkungen, emotionales Essen), reproduktive Status (diätetische Veränderungen während der Schwangerschaft), religiöse Praktiken (Fastenmuster), sozioökonomische Informationen (Lebensmittelwahl spiegelt Einkommensniveau wider) und mehr.

Dies sind Daten, die Sie nicht in einem Datenleck, beim Verkauf an Datenbroker oder bei der Verwendung für Versicherungsprofiling exponiert haben möchten.

Datenschutz im Gesundheitsbereich ist ein wachsendes rechtliches Anliegen

Die Vorschriften zum Datenschutz im Gesundheitsbereich werden weltweit strenger. Die DSGVO der EU bietet starken Schutz für gesundheitsbezogene Daten. In den Vereinigten Staaten schützt HIPAA medizinische Aufzeichnungen, deckt jedoch keine Daten ab, die freiwillig in Verbraucher-Apps wie MyFitnessPal eingegeben werden. Dies schafft eine Lücke, in der hochsensible Gesundheitsinformationen weniger rechtlichen Schutz genießen als Ihre medizinische Akte.

Das Geschäftsmodell ist entscheidend

Wie ein Unternehmen Geld verdient, hat direkten Einfluss darauf, wie es mit Ihren Daten umgeht. Apps, die auf Werbeeinnahmen angewiesen sind, haben einen finanziellen Anreiz, so viele Nutzerdaten wie möglich zu sammeln und mit Werbepartnern zu teilen. Apps, die auf Abonnements angewiesen sind, haben einen finanziellen Anreiz, Nutzerdaten zu schützen, da ihre Einnahmen aus dem Vertrauen der Nutzer und nicht aus der Monetarisierung von Daten stammen.

Diese Unterscheidung ist entscheidend bei der Wahl einer Gesundheits-App.

Wie man die Datensicherheit einer Ernährungs-App bewertet

Wenn Sie nach dem MyFitnessPal-Datenleck zweimal darüber nachdenken, wo Sie Ihre Gesundheitsdaten speichern, sollten Sie auf Folgendes achten, wenn Sie Alternativen bewerten:

Wichtige Sicherheits- und Datenschutzfragen

Faktor	Worauf Sie achten sollten	Warnsignal
Geschäftsmodell	Abonnementbasiert, keine Werbung	Werbefinanzierte kostenlose Version mit Datenteilung
Datenverschlüsselung	End-to-End-Verschlüsselung für Gesundheitsdaten	Keine Verschlüsselung oder nur serverseitig
Datenschutzrichtlinie	Klar, spezifisch, leicht verständlich	Vage Formulierungen über „Partner“ und „Dritte“
Datenlöschung	Einfach, um alle Daten dauerhaft zu löschen	Kein klarer Löschprozess
Drittanbieterweitergabe	Minimale oder keine Datenweitergabe an Dritte	Datenweitergabe an Werbetreibende oder Broker
Sicherheitsprüfungen	Regelmäßige unabhängige Sicherheitsprüfungen	Keine öffentlichen Prüfungsinformationen
Vorfallhistorie	Saubere Bilanz oder transparent über frühere Vorfälle	Geschichte von Datenlecks mit mangelhafter Offenlegung
Datenstandort	Server in Jurisdiktionen mit starken Datenschutzgesetzen	Keine Informationen über den Datenstandort

Wie Nutrola mit Datenschutz umgeht

Nutrola basiert auf einem Abonnementmodell, das bei €2,50 pro Monat beginnt und in allen Preiskategorien werbefrei ist. Dies ist ein grundlegender Unterschied zu werbefinanzierten Apps wie der kostenlosen Version von MyFitnessPal. Wenn es keine Werbung gibt, gibt es keinen Anreiz, Nutzerdaten zu Werbezwecken zu sammeln. Ihr Ernährungsprotokoll, Ihre Gewichtsdaten und Ihre Nährstoffinformationen dienen Ihnen, nicht dazu, Sie für Werbetreibende zu profilieren.

Nutrola verkauft keine Nutzerdaten an Dritte. Die Einnahmen der App stammen ausschließlich aus Abonnements, was bedeutet, dass das Geschäftsmodell auf dem Datenschutz der Nutzer basiert und nicht dagegen arbeitet. Wenn ein Unternehmen Geld verdient, indem es Nutzer zufriedenstellt und ihr Vertrauen gewinnt, hat es jeden Grund, deren Daten zu schützen. Wenn ein Unternehmen Geld verdient, indem es Nutzerdaten durch Werbung monetarisiert, zeigen die Anreize in die entgegengesetzte Richtung.

Vergleich: MyFitnessPal vs. Nutrola in Bezug auf Datenschutz und Funktionen

Faktor	MyFitnessPal	Nutrola
Geschichte großer Datenlecks	Ja (150 Millionen Konten, 2018)	Nein
Werbefinanzierte kostenlose Version	Ja (starke Werbung)	Nein (keine Werbung in allen Versionen)
Einnahmemodell	Abonnements + Werbung	Nur Abonnements
Preis	Kostenlos (eingeschränkt) / 79,99 $ pro Jahr	Ab €2,50 pro Monat
Verfolgte Nährstoffe	~6 zuverlässig	100+
Lebensmitteldatenbank	14M+ crowdsourced Einträge	1,8M+ verifizierte Einträge
KI-Foto-Logging	Nein	Ja
Sprach-Logging	Nein	Ja
Barcode-Scannen	Nur Premium	Ja (für alle Nutzer)
Apple Watch + Wear OS	Grundlegende Apple Watch nur	Beide unterstützt
Rezeptimport	Ja	Ja (mit vollständiger Nährstoffanalyse)
Unterstützte Sprachen	20+	9

Was sollten Sie tun, wenn Ihre Daten im MyFitnessPal-Datenleck waren?

Wenn Sie vor März 2018 ein MyFitnessPal-Konto hatten, wurden Ihre Daten wahrscheinlich kompromittiert. Hier ist, was Sie tun sollten, wenn Sie dies noch nicht getan haben:

1. Ändern Sie Ihr MyFitnessPal-Passwort, wenn Sie dies seit dem Vorfall nicht getan haben. Verwenden Sie ein starkes, einzigartiges Passwort.
2. Ändern Sie die Passwörter für alle anderen Dienste, bei denen Sie dieselbe E-Mail- und Passwortkombination wie bei Ihrem MyFitnessPal-Konto verwendet haben. Dies ist der wichtigste Schritt, um Credential Stuffing-Angriffe zu verhindern.
3. Aktivieren Sie die Zwei-Faktor-Authentifizierung bei MyFitnessPal und jedem anderen Dienst, der dies unterstützt.
4. Verwenden Sie einen Passwortmanager, um einzigartige Passwörter für jeden Dienst zu generieren und zu speichern. Dies stellt sicher, dass ein Datenleck bei einem Dienst Ihre anderen Konten nicht gefährdet.
5. Überprüfen Sie haveibeenpwned.com, um zu sehen, ob Ihre E-Mail-Adresse im MyFitnessPal-Datenleck oder in einem anderen bekannten Datenleck aufgetaucht ist.
6. Seien Sie skeptisch gegenüber unerwünschten E-Mails zu Fitness, Diäten, Nahrungsergänzungsmitteln oder Gesundheitsapps. Ihre E-Mail-Adresse ist in den Händen von Angreifern, die wissen, dass Sie an Ernährungstracking interessiert sind.

Häufig gestellte Fragen

Wann wurde MyFitnessPal gehackt?

MyFitnessPal wurde im Februar 2018 gehackt. Der Vorfall wurde am 25. März 2018 entdeckt und am 29. März 2018 öffentlich bekannt gegeben. Etwa 150 Millionen Benutzerkonten wurden kompromittiert, was es zu einem der größten Datenlecks in der Geschichte zu diesem Zeitpunkt machte. MyFitnessPal gehörte während des Vorfalls zu Under Armour.

Welche Daten wurden beim MyFitnessPal-Hack gestohlen?

Das Datenleck betraf Benutzernamen, E-Mail-Adressen und gehashte Passwörter von etwa 150 Millionen Konten. Einige Passwörter wurden mit bcrypt (einem starken Algorithmus) gehasht, während andere SHA-1 (einem schwächeren Algorithmus) verwendeten. Under Armour erklärte, dass Zahlungsinformationen und detaillierte Gesundheitsdaten (Ernährungsprotokolle, Gewichtsdaten) nicht kompromittiert wurden.

Ist MyFitnessPal 2026 sicher zu verwenden?

MyFitnessPal hat nach dem Datenleck von 2018 Sicherheitsverbesserungen implementiert, darunter stärkere Passwort-Hashing-Methoden und optionale Zwei-Faktor-Authentifizierung. Die App gehört jedoch jetzt einer Private-Equity-Firma, die auf Werbeeinnahmen aus der kostenlosen Version angewiesen ist (was die Datensammlung anreizt) und veröffentlicht keine Ergebnisse unabhängiger Sicherheitsprüfungen. Ob Sie es als „sicher“ betrachten, hängt von Ihrer persönlichen Risikobereitschaft und der Sensibilität Ihrer Ernährungsdaten ab.

Wurde MyFitnessPal mehr als einmal gehackt?

Der Vorfall von 2018 ist das einzige öffentlich bestätigte große Datenleck, das MyFitnessPal betrifft. Die kompromittierten Daten aus dem Datenleck von 2018 wurden jedoch anschließend auf Dark-Web-Marktplätzen verkauft und tauchten in Sammlungen von Anmeldedaten auf, die jahrelang nach dem ursprünglichen Vorfall zirkulierten.

Wie erkenne ich, ob meine MyFitnessPal-Daten im Datenleck waren?

Wenn Sie vor März 2018 ein MyFitnessPal-Konto hatten, wurden Ihre Daten höchstwahrscheinlich betroffen – das Datenleck betraf ungefähr 150 Millionen der zu diesem Zeitpunkt existierenden etwa 150 Millionen Konten. Sie können auf haveibeenpwned.com überprüfen, ob Ihre E-Mail-Adresse im Datenleck aufgetaucht ist. MyFitnessPal hat auch E-Mail-Benachrichtigungen an betroffene Nutzer gesendet und Passwortänderungen gefordert.

Welcher Kalorienzähler ist am privatesten und sichersten?

Suchen Sie nach Apps mit abonnementbasierten Geschäftsmodellen und ohne Werbung, da diese weniger Anreiz haben, Nutzerdaten zu sammeln und zu monetarisieren. Nutrola arbeitet nach einem Abonnementmodell, das bei €2,50 pro Monat beginnt und in allen Versionen werbefrei ist, was bedeutet, dass es keine werbefinanzierte Datensammlung gibt. Die App verkauft keine Nutzerdaten an Dritte. Neben dem Datenschutz bietet Nutrola KI-gestütztes Lebensmittel-Logging (Foto, Sprache, Barcode), verfolgt über 100 Nährstoffe aus einer verifizierten Datenbank von 1,8 Millionen Lebensmitteln und unterstützt Apple Watch, Wear OS und neun Sprachen.