למה MyFitnessPal נפרץ? הסבר על פרצת הנתונים של 150 מיליון חשבונות

ב-2018, MyFitnessPal חוותה אחת מפרצות הנתונים הגדולות בהיסטוריה. 150 מיליון חשבונות נחשפו. כאן תמצאו בדיוק מה קרה, אילו נתונים נחשפו, האם זה בטוח עכשיו, ולמה פרטיות הנתונים הבריאותיים חשובה יותר מתמיד.

Medically reviewed by Dr. Emily Torres, Registered Dietitian Nutritionist (RDN)

בפברואר 2018, מישהו פרץ למערכות של MyFitnessPal וגנב את נתוני החשבונות של כ-150 מיליון משתמשים. שמות משתמש, כתובות דוא"ל וסיסמאות מוצפנות — הכל נחשף. באותה תקופה, זו הייתה אחת מעשר הפרצות הגדולות בהיסטוריה. החברה לא גילתה על הפרצה עד מרץ 2018, מה שאומר שהתוקפים היו בעלי גישה לנתוני המשתמשים במשך כחודש לפני שמישהו שם לב.

אם השתמשתם ב-MyFitnessPal לפני מרץ 2018, הנתונים שלכם כמעט בוודאות היו חלק מהפרצה הזו. ואם אתם עדיין תוהים למה אפליקציית מעקב קלוריות הפכה למטרה של אחת מההאקטים הגדולים ביותר שנרשמו, התשובה חושפת כמה אמיתות לא נוחות לגבי האופן שבו אפליקציות בריאות וכושר מטפלות בנתונים שלכם.

מאמר זה מסביר בדיוק מה קרה, אילו נתונים נחשפו, מה לא נחשף, האם MyFitnessPal בטוחה לשימוש היום, ולמה פרטיות הנתונים הבריאותיים צריכה להיות גורם מכריע בבחירת אפליקציית תזונה שאתם סומכים עליה.

מה קרה בפרצת הנתונים של MyFitnessPal?

הנה לוח הזמנים של האירועים כפי שקרו:

הפרצה: פברואר 2018

בסוף פברואר 2018, צד לא מורשה הצליח לגשת לנתוני חשבונות המשתמשים של MyFitnessPal. השיטה המדויקת של החדירה לא פורסמה לציבור. מה שידוע הוא שהתוקף הצליח לחלץ מאגר נתונים עצום שכולל מידע על חשבונות של כ-150 מיליון משתמשים.

באותה תקופה, MyFitnessPal הייתה בבעלות Under Armour, שהשיגה את האפליקציה ב-2015 עבור 475 מיליון דולר. Under Armour הייתה אחראית על אבטחת התשתית של MyFitnessPal.

גילוי: 25 במרץ 2018

צוות האבטחה של MyFitnessPal זיהה את הפרצה ב-25 במרץ 2018 — כארבעה שבועות לאחר שהחדירה התרחשה. פער של ארבעה שבועות בין הפרצה לגילוי אינו נדיר עבור פרצות נתונים בקנה מידה כזה, אך זה אומר שהתוקף היה בעל גישה בלתי מזוהה לנתוני המשתמשים במשך שבועות.

גילוי ציבורי: 29 במרץ 2018

Under Armour חשפה את הפרצה לציבור ב-29 במרץ 2018, רק ארבעה ימים לאחר שגילתה אותה. החברה הודיעה למשתמשים המושפעים באמצעות דוא"ל והודעות בתוך האפליקציה, ודורשה לאפס סיסמאות לכל החשבונות.

ההשלכות

המניה של Under Armour ירדה בכ-3.8% בימים שלאחר הגילוי. הפרצה תרמה לחששות גוברים לגבי האסטרטגיה הדיגיטלית של Under Armour בתחום הכושר ועלויות התחזוקה של מאגר משתמשים עצום. שנתיים לאחר מכן, Under Armour מכרה את MyFitnessPal ל-Francisco Partners עבור 345 מיליון דולר — 130 מיליון דולר פחות מהמחיר המקורי.

אילו נתונים נחשפו בהאקט של MyFitnessPal?

הבנת מה בדיוק נחשף — ומה לא — היא חשובה להערכת הסיכון.

נתונים שנחשפו

  • שמות משתמש. שמות החשבון ששימשו להתחברות ל-MyFitnessPal.
  • כתובות דוא"ל. כתובות הדוא"ל הקשורות לכל חשבון.
  • סיסמאות מוצפנות. הסיסמאות לא נשמרו בטקסט גלוי. הן הוצפנו באמצעות bcrypt, אלגוריתם חזק. עם זאת, חלק מהסיסמאות הוצפנו עם SHA-1, אלגוריתם חלש יותר שנמצא בסיכון גבוה יותר לפריצה.

נתונים שלא נחשפו (לפי Under Armour)

  • מידע על תשלומים. Under Armour ציינה שפרטי כרטיסי התשלום לא נפגעו כי הם נאספו ועובדו בנפרד.
  • מזהים שהונפקו על ידי ממשלה. מספרי ביטוח לאומי, מספרי רישיון נהיגה ומזהים דומים לא נשמרו על ידי MyFitnessPal ולכן לא נחשפו.
  • נתוני בריאות מפורטים. Under Armour ציינה שהפרצה כללה את פרטי החשבון, ולא את נתוני יומן המזון, רישומי המשקל או המידע התזונתי שנשמר באפליקציה.

למה זה חשוב גם אם "רק" כתובות דוא"ל וסיסמאות נחשפו

קל להמעיט בחשיבות הפרצה כ"סתם" שמות משתמש וסיסמאות. אבל ההשפעה הממשית של חשיפת נתונים מסוג זה היא משמעותית:

  • התקפות של גניבת אישורים. רבים משתמשים באותן סיסמאות בשירותים שונים. תוקפים שפרצו את הסיסמאות המוצפנות יכולים להשתמש בהן כדי לגשת לחשבונות אחרים — דוא"ל, בנקאות, רשתות חברתיות, קניות — שבהם השתמשו באותה קומבינציה של דוא"ל וסיסמה.
  • קמפיינים של פישינג. עם 150 מיליון כתובות דוא"ל המאושרות כקשורות לאפליקציית בריאות וכושר, לתוקפים הייתה רשימה ממוקדת לדוא"ל פישינג הקשורים לבריאות, כושר, תוספי תזונה ודיאטות. דוא"ל אלה עשויים להיות משכנעים מאוד כי התוקף ידע שהנמען השתמש באפליקציית מעקב קלוריות.
  • נתונים שנמכרים באינטרנט האפל. נתוני MyFitnessPal הגנובים הופיעו בשווקי האינטרנט האפל. ב-2019, אוסף של מסדי נתונים שנפרצו כולל נתוני MyFitnessPal הוצע למכירה עבור כ-20,000 דולר במטבעות קריפטוגרפיים.

למה MyFitnessPal הייתה מטרה?

אפליקציית מעקב קלוריות עשויה להיראות כמטרה לא שגרתית עבור האקרים בהשוואה לבנקים או קמעונאים. אבל יש סיבות ספציפיות לכך ש-MyFitnessPal הייתה אטרקטיבית לתוקפים.

היקף בסיס המשתמשים

עם יותר מ-150 מיליון חשבונות באותה תקופה, ל-MyFitnessPal היה אחד ממאגרי המשתמשים הגדולים ביותר בכל אפליקציה לצרכנים. עבור תוקפים המתמקדים בגניבת אישורים, כמות עצומה של קומבינציות דוא"ל וסיסמאות הפכה אותה למטרה בעלת ערך גבוה, ללא קשר למה שהאפליקציה עצמה עושה.

נתוני בריאות בעלי ערך ייחודי

נתוני בריאות וכושר הופכים ליותר ויותר יקרים בכלכלה של נתונים. מידע על מה שאנשים אוכלים, כמה הם שוקלים, מטרות הכושר שלהם ודפוסי התזונה שלהם יכול לשמש לפרסום ממוקד, פרופיל ביטוח והנדסה חברתית. בעוד ש-Under Armour ציינה שנתוני יומן המזון לא נחשפו בפרצת 2018, עצם קיומו של מאגר נתוני בריאות עצום הופך את הפלטפורמה למטרה.

האבטחה לא הייתה בעדיפות

Under Armour הייתה חברה ללבוש ספורט, לא חברה טכנולוגית או אבטחת מידע. כאשר היא רכשה את MyFitnessPal ב-2015, המוקד היה על הגדלת בסיס המשתמשים ושילוב האפליקציה עם מערכת הכושר של Under Armour. השקעה בתשתיות אבטחה לא הייתה בעדיפות עליונה.

השימוש בהצפנת SHA-1 עבור חלק מהסיסמאות הוא פרט מדאיג. SHA-1 נחשב חלש מבחינה קריפטוגרפית במשך שנים לפני הפרצה ב-2018. פרקטיקות מיטביות קראו להשתמש ב-bcrypt או באלגוריתמים חזקים דומים. העובדה שחלק מהסיסמאות של MyFitnessPal עדיין הוצפנו עם SHA-1 מצביעה על כך שהשדרוגים לאבטחה לא היו בעדיפות.

האם אבטחת MyFitnessPal השתפרה מאז הפרצה?

זו השאלה שחשוב ביותר למשתמשים הנוכחיים והפוטנציאליים לקבל עליה תשובה. התשובה הקצרה: MyFitnessPal עשתה שיפורים, אך ההיסטוריה של בעלות האפליקציה ומודל העסקי שלה מעוררים שאלות מתמשכות.

מה השתנה לאחר הפרצה

לאחר הפרצה ב-2018, MyFitnessPal יישמה מספר שיפורי אבטחה:

  • איפוס סיסמאות חובה לכל החשבונות המושפעים
  • ניטור משופר לגישה בלתי מורשית
  • מעבר לאלגוריתמים חזקים יותר להצפנת סיסמאות
  • אימות דו-שלבי נוסף כאופציה

מה לא השתנה

למרות השיפורים הללו, מספר בעיות מבניות נותרו:

  • אין הצפנה מקצה לקצה לנתוני בריאות. MyFitnessPal שומרת נתוני יומן מזון, רישומי משקל ומידע תזונתי על השרתים שלה. נתונים אלו אינם מוצפנים מקצה לקצה, מה שאומר שהחברה (וכל תוקף שיקבל גישה לשרתים) יכול לקרוא אותם.
  • בעלים חדשים עם עדיפויות שונות. Francisco Partners, חברת ההון הפרטי שרכשה את MyFitnessPal ב-2020, מתמקדת בהפקת הכנסות. השקעה באבטחה מתמודדת עם עדיפויות אחרות במודל זה.
  • איסוף נתונים ממומן על ידי פרסום. הגרסה החינמית של MyFitnessPal נתמכת על ידי פרסום. אפליקציות הנתמכות על ידי פרסום אוספות באופן אינהרנטי יותר נתוני משתמשים כדי להציג פרסומות ממוקדות. יותר נתוני אוספים פירושם שטח התקפה גדול יותר ויותר נתונים בסיכון במקרה של פרצה פוטנציאלית.
  • אין בדיקות אבטחה ציבוריות. MyFitnessPal לא מפרסמת תוצאות בדיקות אבטחה עצמאיות. המשתמשים צריכים לסמוך על טענות החברה לגבי שיפורי האבטחה ללא אישור של צד שלישי.

למה פרטיות נתוני בריאות חשובה?

אם אתם עוקבים אחרי מה שאתם אוכלים, כמה אתם שוקלים, מדדי הגוף שלכם, מטרות הכושר שלכם ודפוסי התזונה שלכם באפליקציה, אתם יוצרים פרופיל בריאות מפורט. נתונים אלו רגישים יותר ממה שרבים מבינים.

נתוני בריאות הם אישיים באופן ייחודי

יומן המזון שלכם חושף הרבה יותר מאשר ספירת קלוריות. הוא מגלה מצבים רפואיים (מעקב אחרי מזון לניהול סוכרת או מחלת כליות), דפוסי בריאות נפשית (אכילה כפייתית, הגבלה, אכילה רגשית), מצב רבייתי (שינויים תזונתיים הקשורים להריון), פרקטיקות דתיות (דפוסי צום), מידע סוציו-כלכלי (בחירות מזון משקפות את רמת ההכנסה) ועוד.

זה לא נתון שתרצו לחשוף בפרצה, למכור לסוכנויות נתונים, או להשתמש בו לפרופיל ביטוח.

פרטיות נתוני בריאות היא דאגה חוקית גוברת

הרגולציות סביב פרטיות נתוני בריאות מתהדקות ברחבי העולם. ה-GDPR של האיחוד האירופי מספק הגנות חזקות לנתונים הקשורים לבריאות. בארצות הברית, HIPAA מגנה על רשומות רפואיות אך לא מכסה נתונים שנכנסים מרצון לאפליקציות צרכניות כמו MyFitnessPal. זה יוצר פער שבו מידע בריאותי רגיש מאוד יש פחות הגנות חוקיות מאשר התיק הרפואי שלכם.

המודל העסקי חשוב

איך חברה מרוויחה כסף משפיע ישירות על איך היא מטפלת בנתונים שלכם. אפליקציות שתלויות בהכנסות מפרסום יש להן תמריץ כלכלי לאסוף כמה שיותר נתוני משתמשים ולשתף אותם עם שותפי פרסום. אפליקציות שתלויות במנויים יש להן תמריץ כלכלי להגן על נתוני המשתמשים כי ההכנסות שלהן מגיעות מהאמון של המשתמשים, ולא ממוניטיזציה של נתונים.

ההבחנה הזו קריטית כאשר בוחרים אפליקציית בריאות.

איך להעריך את אבטחת הנתונים של אפליקציית תזונה

אם הפרצה ב-MyFitnessPal גרמה לכם לחשוב פעמיים על היכן אתם מאחסנים את נתוני הבריאות שלכם, הנה מה לחפש כאשר אתם מעריכים חלופות:

שאלות מפתח לגבי אבטחה ופרטיות

גורם מה לחפש דגל אדום
מודל עסקי מבוסס מנויים, ללא פרסומות גרסה חינמית נתמכת בפרסום עם שיתוף נתונים
הצפנת נתונים הצפנה מקצה לקצה לנתוני בריאות ללא הצפנה או רק בצד השרת
מדיניות פרטיות ברורה, ספציפית, קלה לקריאה שפה מעורפלת לגבי "שותפים" ו"צדדים שלישיים"
מחיקת נתונים קל למחוק את כל הנתונים שלכם לצמיתות אין תהליך מחיקה ברור
שיתוף עם צדדים שלישיים מינימלי או ללא שיתוף נתונים עם צדדים שלישיים נתונים משותפים עם מפרסמים או סוכנויות
בדיקות אבטחה בדיקות אבטחה עצמאיות סדירות אין מידע ציבורי על בדיקות
היסטוריה של פרצות היסטוריה נקייה או שקיפות לגבי תקריות קודמות היסטוריה של פרצות עם גילוי לקוי
מיקום הנתונים שרתים במדינות עם חוקים פרטיים חזקים אין מידע על מיקום הנתונים

איך Nutrola מתקרבת לפרטיות הנתונים

Nutrola פועלת על מודל מנויים שמתחיל ב-€2.50 לחודש עם אפס פרסומות בכל רמות המחיר. זו הבחנה מהותית מאפליקציות נתמכות בפרסום כמו הגרסה החינמית של MyFitnessPal. כאשר אין פרסומות, אין תמריץ לאסוף נתוני משתמשים למטרות פרסום. יומן המזון שלכם, רישומי המשקל והנתונים התזונתיים שלכם קיימים כדי לשרת אתכם, ולא כדי לפרופיל אתכם עבור מפרסמים.

Nutrola לא מוכרת נתוני משתמשים לצדדים שלישיים. ההכנסות של האפליקציה מגיעות לחלוטין מהמנויים, מה שאומר שהמודל העסקי תואם את פרטיות המשתמשים ולא מתנגד לה. כאשר חברה מרוויחה כסף על ידי שמירה על משתמשים מרוצים וסומכים, יש לה כל סיבה להגן על הנתונים שלהם. כאשר חברה מרוויחה כסף על ידי מוניטיזציה של נתוני משתמשים דרך פרסום, התמריצים פונים בכיוון ההפוך.

השוואה: MyFitnessPal מול Nutrola על פרטיות ותכונות

גורם MyFitnessPal Nutrola
היסטוריה של פרצות נתונים משמעותיות כן (150 מיליון חשבונות, 2018) לא
גרסה חינמית נתמכת בפרסום כן (פרסומות כבדות) לא (אפס פרסומות בכל הרמות)
מודל הכנסות מנויים + פרסום מנויים בלבד
מחיר חינם (מוגבל) / $79.99 לשנה מ-€2.50 לחודש
רכיבי תזונה שנעשים מעקב ~6 באופן מהימן 100+
מאגר מזון 14M+ רשומות שנאספו על ידי משתמשים 1.8M+ רשומות מאומתות
רישום תמונות באמצעות AI לא כן
רישום קולי לא כן
סריקת ברקודים רק בפרימיום כן (לכל המשתמשים)
Apple Watch + Wear OS בסיסי רק עבור Apple Watch תומך בשניהם
ייבוא מתכונים כן כן (עם פירוט תזונתי מלא)
שפות נתמכות 20+ 9

מה לעשות אם הנתונים שלכם היו בפרצת MyFitnessPal?

אם היה לכם חשבון MyFitnessPal לפני מרץ 2018, הנתונים שלכם סביר להניח שנחשפו. הנה מה לעשות אם עדיין לא עשיתם זאת:

  1. שנו את הסיסמה שלכם ב-MyFitnessPal אם לא עשיתם זאת מאז הפרצה. השתמשו בסיסמה חזקה וייחודית.
  2. שנו סיסמאות בכל שירות אחר שבו השתמשתם באותה קומבינציה של דוא"ל וסיסמה כמו בחשבון MyFitnessPal שלכם. זהו הצעד החשוב ביותר למניעת התקפות של גניבת אישורים.
  3. הפעילו אימות דו-שלבי על MyFitnessPal ועל כל שירות אחר שתומך בכך.
  4. השתמשו במנהל סיסמאות כדי ליצור ולאחסן סיסמאות ייחודיות לכל שירות. זה מבטיח שפרצה של שירות אחד לא תחשוף את החשבונות שלכם האחרים.
  5. בדקו ב-haveibeenpwned.com אם כתובת הדוא"ל שלכם הופיעה בפרצת MyFitnessPal או בכל פרצת נתונים ידועה אחרת.
  6. היו ספקניים לגבי דוא"ל לא רצוי הקשור לכושר, דיאטות, תוספי תזונה או אפליקציות בריאות. כתובת הדוא"ל שלכם נמצאת בידיים של תוקפים שיודעים שאתם מתעניינים במעקב תזונתי.

שאלות נפוצות

מתי MyFitnessPal נפרץ?

MyFitnessPal נפרץ בפברואר 2018. הפרצה התגלתה ב-25 במרץ 2018, ופורסמה לציבור ב-29 במרץ 2018. כ-150 מיליון חשבונות משתמשים נחשפו, מה שהופך את זה לאחת מפרצות הנתונים הגדולות בהיסטוריה באותה תקופה. MyFitnessPal הייתה בבעלות Under Armour במהלך הפרצה.

אילו נתונים נגנבו בהאקט של MyFitnessPal?

הפרצה חשפה שמות משתמש, כתובות דוא"ל וסיסמאות מוצפנות עבור כ-150 מיליון חשבונות. חלק מהסיסמאות הוצפנו עם bcrypt (אלגוריתם חזק) בעוד אחרות השתמשו ב-SHA-1 (אלגוריתם חלש). Under Armour ציינה שפרטי תשלום ונתוני בריאות מפורטים (יומני מזון, רישומי משקל) לא נחשפו.

האם MyFitnessPal בטוחה לשימוש ב-2026?

MyFitnessPal יישמה שיפורי אבטחה לאחר הפרצה ב-2018, כולל הצפנה חזקה יותר של סיסמאות ואימות דו-שלבי כאופציה. עם זאת, האפליקציה נמצאת עכשיו בבעלות חברת הון פרטי, תלויה בהכנסות מפרסום מהגרסה החינמית (שמעודדת איסוף נתונים), ואינה מפרסמת תוצאות בדיקות אבטחה עצמאיות. האם תחשיבו אותה "בטוחה" תלוי בסובלנות האישית שלכם לסיכון ובכמה רגישים אתם רואים את נתוני התזונה שלכם.

האם MyFitnessPal נפרצה יותר מפעם אחת?

הפרצה ב-2018 היא הפרצה הגדולה היחידה שהוכחה בפומבי שמשפיעה על MyFitnessPal. עם זאת, הנתונים שנחשפו מהפרצה ב-2018 נמכרו לאחר מכן בשווקי האינטרנט האפל והופיעו באוספי נתונים שנפרצו שהסתובבו במשך שנים לאחר האירוע המקורי.

איך אני יודע אם הנתונים שלי ב-MyFitnessPal היו בפרצה?

אם היה לכם חשבון MyFitnessPal לפני מרץ 2018, הנתונים שלכם כמעט בוודאות נפגעו — הפרצה פגעה בכ-150 מיליון מתוך כ-150 מיליון החשבונות שהיו קיימים באותה תקופה. אתם יכולים לבדוק ב-haveibeenpwned.com כדי לאשר אם כתובת הדוא"ל שלכם הופיעה בפרצה. MyFitnessPal גם שלחה הודעות דוא"ל למשתמשים המושפעים ודורשה לאפס סיסמאות.

איזו אפליקציית מעקב קלוריות היא הפרטית והבטוחה ביותר?

חפשו אפליקציות עם מודלים עסקיים מבוססי מנויים וללא פרסום, שכן יש להן פחות תמריץ לאסוף ולמוניטיזציה של נתוני משתמשים. Nutrola פועלת על מודל מנויים שמתחיל ב-€2.50 לחודש עם אפס פרסומות בכל רמה, מה שאומר שאין איסוף נתונים ממומן על ידי פרסום. האפליקציה לא מוכרת נתוני משתמשים לצדדים שלישיים. מעבר לפרטיות, Nutrola מציעה רישום מזון מונע על ידי AI (תמונה, קול, ברקוד), עוקבת אחרי יותר מ-100 רכיבי תזונה ממאגר מאומת של 1.8 מיליון מזונות, ותומכת ב-Apple Watch, Wear OS, ותשעה שפות.

מוכנים לשנות את מעקב התזונה שלכם?

הצטרפו לאלפים ששינו את מסע הבריאות שלהם עם Nutrola!

App Store logo
Download on theApp Store
Google Play logo
GET IT ONGoogle Play