Miért történt a MyFitnessPal adatlopás? A 150 millió fiók megsértésének magyarázata

2018 februárjában valaki behatolt a MyFitnessPal rendszereibe, és ellopta körülbelül 150 millió felhasználó fiókadatait. A felhasználónevek, e-mail címek és hashelt jelszavak mind veszélybe kerültek. Akkoriban ez volt az egyik legnagyobb adatlopás a történelemben. A cég csak 2018 márciusában fedezte fel a megsértést, ami azt jelenti, hogy a támadók körülbelül egy hónapig hozzáfértek a felhasználói adatokhoz, mielőtt bárki észlelte volna.

Ha a MyFitnessPal-t használtad 2018 márciusa előtt, akkor a te adataid is valószínűleg érintettek voltak ebben az adatlopásban. Ha még mindig azon tűnődsz, hogy egy kalóriaszámláló alkalmazás miért lett a legnagyobb hackelés célpontja, a válasz kényelmetlen igazságokat fed fel arról, hogyan kezelik az egészségügyi és fitnesz alkalmazások a te adataidat.

Ez a cikk pontosan elmagyarázza, mi történt, milyen adatok kerültek nyilvánosságra, mi nem, hogy a MyFitnessPal biztonságos-e ma, és miért kell figyelembe venni az egészségügyi adatok védelmét, amikor táplálkozási alkalmazást választasz.

Mi történt a MyFitnessPal adatlopás során?

Íme az események idővonala, ahogy zajlottak:

A megsértés: 2018 február

2018 február végén egy jogosulatlan fél hozzáférést szerzett a MyFitnessPal felhasználói fiókadataihoz. A behatolás pontos módszere soha nem került teljesen nyilvánosságra. Annyit tudunk, hogy a támadó képes volt egy hatalmas adatbázist kinyerni, amely körülbelül 150 millió felhasználó fiókadatait tartalmazta.

A MyFitnessPal akkoriban az Under Armour tulajdonában volt, amely 2015-ben 475 millió dollárért vásárolta meg az alkalmazást. Az Under Armour volt felelős a MyFitnessPal infrastruktúrájának biztonságáért.

Felfedezés: 2018. március 25.

A MyFitnessPal biztonsági csapata 2018. március 25-én azonosította a megsértést – körülbelül négy héttel azután, hogy a behatolás történt. A négyhetes időeltolódás a megsértés és a felfedezés között nem szokatlan az ilyen méretű adatlopások esetén, de azt jelenti, hogy a támadó hetekig észrevétlenül hozzáférhetett a felhasználói adatokhoz.

Nyilvános bejelentés: 2018. március 29.

Az Under Armour 2018. március 29-én nyilvánosan bejelentette a megsértést, mindössze négy nappal azután, hogy felfedezték. A cég e-mailben és alkalmazáson belüli üzenetekben értesítette az érintett felhasználókat, és jelszó-visszaállítást követelt meg minden fióktól.

A következmények

Az Under Armour részvényei körülbelül 3,8%-ot estek a nyilvános bejelentést követő napokban. A megsértés hozzájárult az Under Armour digitális fitnesz stratégiájával és a hatalmas felhasználói adatbázis fenntartásának költségeivel kapcsolatos aggodalmak növekedéséhez. Két évvel később az Under Armour 345 millió dollárért eladta a MyFitnessPal-t a Francisco Partners-nek – 130 millió dollárral kevesebbért, mint az eredeti vételár.

Milyen adatok kerültek nyilvánosságra a MyFitnessPal hack során?

Fontos megérteni, hogy pontosan mi került veszélybe – és mi nem – a kockázat értékeléséhez.

Az adatok, amelyek veszélybe kerültek

• Felhasználónevek. A MyFitnessPal-ba való bejelentkezéshez használt fióknevek.
• E-mail címek. Az egyes fiókokhoz tartozó e-mail címek.
• Hashelt jelszavak. A jelszavakat nem sima szövegként tárolták. Azokat bcrypt-tel, egy erős hashelési algoritmussal hash-elték. Azonban néhány jelszót SHA-1-el hash-eltek, ami egy gyengébb algoritmus, amely hajlamosabb a feltörésre.

Az adatok, amelyek nem kerültek veszélybe (az Under Armour szerint)

• Fizetési információk. Az Under Armour kijelentette, hogy a bankkártya adatok nem érintettek, mivel azokat külön gyűjtötték és dolgozták fel.
• Kormány által kiadott azonosítók. A társadalombiztosítási számok, jogosítvány számok és hasonló azonosítók nem voltak tárolva a MyFitnessPal által, így nem kerültek nyilvánosságra.
• Részletes egészségügyi adatok. Az Under Armour kijelentette, hogy a megsértés a fiók hitelesítő adatait érintette, nem az alkalmazásban tárolt étkezési napló adatokat, súlynaplókat vagy táplálkozási információkat.

Miért számít ez, még ha "csak" e-mailek és jelszavak kerültek nyilvánosságra?

Csábító lehet a megsértést "csak" felhasználónevek és jelszavak ügyének tekinteni. De az ilyen típusú adatkiadás valós hatása jelentős:

• Hitelesítő adatokkal való visszaélés. Sokan újrahasználják a jelszavakat több szolgáltatásban. A támadók, akik feltörték a hashelt jelszavakat, felhasználhatják azokat más fiókokhoz való hozzáféréshez – e-mail, banki, közösségi média, vásárlás – ahol ugyanazt az e-mail és jelszó kombinációt használták.
• Adathalász kampányok. 150 millió e-mail cím megerősítve, hogy egy egészségügyi és fitnesz alkalmazáshoz kapcsolódik, a támadók számára célzott listát biztosítottak az egészséggel, fitneszszel, táplálékkiegészítőkkel és diétával kapcsolatos adathalász e-mailekhez. Ezek az e-mailek rendkívül meggyőzőek lehetnek, mivel a támadó tudta, hogy a címzett kalóriaszámláló alkalmazást használ.
• Adatok eladása a sötét weben. A lopott MyFitnessPal adatok megjelentek a sötét web piacain. 2019-ben egy, a MyFitnessPal adatokat is tartalmazó megsértett adatbázis gyűjteményét körülbelül 20 000 dollárért kínálták eladásra kriptovalutában.

Miért volt célpont a MyFitnessPal?

Egy kalóriaszámláló alkalmazás szokatlan célpontnak tűnhet a hackerek számára a bankok vagy kiskereskedők mellett. De vannak konkrét okok, amiért a MyFitnessPal vonzó volt a támadók számára.

A felhasználói bázis mérete

Több mint 150 millió fiókkal a MyFitnessPal az egyik legnagyobb felhasználói adatbázissal rendelkezett bármely fogyasztói alkalmazás esetében. A hitelesítő adatok ellopására összpontosító támadók számára a hatalmas e-mail és jelszó kombinációk mennyisége miatt ez egy nagy értékű célpont volt, függetlenül attól, hogy az alkalmazás mit csinált.

Az egészségügyi adatok egyedi értéke

Az egészségügyi és fitnesz adatok egyre értékesebbek az adatgazdaságban. Az információk arról, hogy mit esznek az emberek, mennyit nyomnak, milyen fitnesz céljaik vannak, és milyen táplálkozási mintáik vannak, célzott hirdetésekhez, biztosítási profilalkotáshoz és szociális manipulációhoz használhatók. Míg az Under Armour kijelentette, hogy az étkezési napló adatai nem kerültek veszélybe a 2018-as megsértés során, a hatalmas egészségügyi adatbázis puszta létezése célponttá teszi a platformot.

A biztonság nem volt prioritás

Az Under Armour sportfelszerelésekkel foglalkozó cég volt, nem technológiai vagy biztonsági vállalat. Amikor 2015-ben megszerezték a MyFitnessPal-t, a hangsúly a felhasználói bázis növelésén és az alkalmazás integrálásán volt az Under Armour fitnesz ökoszisztémájába. A biztonsági infrastruktúrába való befektetés nem volt a fő prioritás.

A SHA-1 hashelés használata néhány jelszó esetén figyelemre méltó részlet. A SHA-1 évek óta kriptográfiailag gyengének számított a 2018-as megsértés előtt. A legjobb gyakorlatok a bcrypt vagy hasonló erős hashelési algoritmusok használatát javasolták. Az, hogy néhány MyFitnessPal jelszót még mindig SHA-1-el hash-eltek, arra utal, hogy a biztonsági frissítések nem voltak prioritásként kezelve.

Javult a MyFitnessPal biztonsága a megsértés óta?

Ez az a kérdés, amelyre a jelenlegi és potenciális felhasználóknak a leginkább választ kell kapniuk. A rövid válasz: a MyFitnessPal javított a biztonságán, de az alkalmazás tulajdonosi története és üzleti modellje folyamatos kérdéseket vet fel.

Mi változott a megsértés után

A 2018-as megsértést követően a MyFitnessPal számos biztonsági fejlesztést hajtott végre:

• Kötelező jelszó-visszaállítás minden érintett fiók számára
• Fokozott megfigyelés a jogosulatlan hozzáférés ellen
• Átállás erősebb hashelési algoritmusokra a jelszavak számára
• Kétfaktoros hitelesítés végül opcióként került bevezetésre

Mi nem változott

Ezek ellenére több strukturális aggodalom is fennáll:

• Nincs végponttól végpontig terjedő titkosítás az egészségügyi adatokra. A MyFitnessPal tárolja az étkezési napló adatokat, súlynaplókat és táplálkozási információkat a szerverein. Ezek az adatok nem végponttól végpontig titkosítottak, ami azt jelenti, hogy a cég (és bármely támadó, aki hozzáfér a szerverhez) olvashatja azokat.
• Új tulajdonos más prioritásokkal. A Francisco Partners, a magántőke cég, amely 2020-ban megszerezte a MyFitnessPal-t, a bevételnövelésre összpontosít. A biztonsági befektetések versenyeznek más prioritásokkal ebben a modellben.
• Hirdetésalapú adatgyűjtés. A MyFitnessPal ingyenes verzióját hirdetések támogatják. A hirdetésalapú alkalmazások alapvetően több felhasználói adatot gyűjtenek, hogy célzott hirdetéseket szolgáltassanak. A több adatgyűjtés nagyobb támadási felületet jelent, és több adatot kockáztat egy potenciális megsértés során.
• Nincsenek nyilvános biztonsági auditok. A MyFitnessPal nem teszi közzé független biztonsági auditok eredményeit. A felhasználóknak meg kell bízniuk a cég biztonsági fejlesztéseiről tett állításaiban harmadik fél általi ellenőrzés nélkül.

Miért fontos az egészségügyi adatok védelme?

Ha nyomon követed, mit eszel, mennyit nyomsz, a testméreteidet, a fitnesz céljaidat és a táplálkozási mintáidat egy alkalmazásban, akkor egy részletes egészségügyi profilt hozol létre. Ezek az adatok érzékenyebbek, mint sokan gondolják.

Az egészségügyi adatok egyedülállóan személyesek

Az étkezési naplód sokkal többet árul el, mint a kalóriaszámok. Orvosi állapotokat (étkezés nyomon követése cukorbetegség kezelésére vagy vesebetegség esetén), mentális egészségi mintákat (túlevés, korlátozás, érzelmi evés), reproduktív állapotot (terhességgel kapcsolatos étkezési változások), vallási gyakorlatokat (böjtölési minták), társadalmi-gazdasági információkat (az étkezési választások a jövedelmi szintet tükrözik) és még sok mást fedhetnek fel.

Ez nem olyan adat, amelyet szeretnél, hogy megsértsenek, eladjanak adatbrókereknek, vagy biztosítási profilalkotáshoz használjanak.

Az egészségügyi adatok védelme egyre növekvő jogi aggodalom

A globális szinten egyre szigorodnak az egészségügyi adatok védelméről szóló szabályozások. Az EU GDPR erős védelmet nyújt az egészségügyi adatok számára. Az Egyesült Államokban a HIPAA védi az orvosi nyilvántartásokat, de nem terjed ki az önkéntesen a MyFitnessPal-hoz hasonló fogyasztói alkalmazásokba bevitt adatokra. Ez egy olyan hiányosságot teremt, ahol a rendkívül érzékeny egészségügyi információknak kevesebb jogi védelme van, mint az orvosi kartonodnak.

Az üzleti modell számít

Az, hogy egy cég hogyan keres pénzt, közvetlenül befolyásolja, hogyan kezeli az adataidat. Azok az alkalmazások, amelyek hirdetési bevételre támaszkodnak, pénzügyi ösztönzést kapnak arra, hogy minél több felhasználói adatot gyűjtsenek, és megosszák azokat hirdetési partnereikkel. Azok az alkalmazások, amelyek előfizetésekből származó bevételre támaszkodnak, pénzügyi ösztönzést kapnak a felhasználói adatok védelmére, mivel a bevételük a felhasználói bizalomból származik, nem az adatok monetizálásából.

Ez a megkülönböztetés kulcsfontosságú, amikor egészségügyi alkalmazást választasz.

Hogyan értékeljük egy táplálkozási alkalmazás adatbiztonságát

Ha a MyFitnessPal megsértése arra késztetett, hogy kétszer is gondolkodj, hol tárolod az egészségügyi adataidat, íme, mire figyelj, amikor alternatívákat értékelsz:

Kulcsfontosságú biztonsági és adatvédelmi kérdések

Tényező	Mire figyelj	Figyelmeztető jel
Üzleti modell	Előfizetés alapú, hirdetések nélkül	Hirdetésalapú ingyenes verzió adatok megosztásával
Adattitkosítás	Végponttól végpontig terjedő titkosítás az egészségügyi adatokra	Nincs titkosítás vagy csak szerveroldali
Adatvédelmi irányelv	Világos, konkrét, könnyen olvasható	Homályos nyelvezet a "partnerekről" és "harmadik felekről"
Adat törlése	Könnyen törölhető minden adat véglegesen	Nincs világos törlési folyamat
Harmadik fél megosztása	Minimális vagy nincs harmadik fél adatmegosztás	Adatok megosztása hirdetőkkel vagy brókerekkel
Biztonsági auditok	Rendszeres független biztonsági auditok	Nincs nyilvános audit információ
Megsértési történelem	Tiszta nyilvántartás vagy átlátható a múltbeli eseményekről	Megsértések története gyenge nyilvánossággal
Adatok helye	Szerverek olyan joghatóságokban, ahol szigorú adatvédelmi törvények vannak	Nincs információ az adatok helyéről

Hogyan közelíti meg a Nutrola az adatvédelmet

A Nutrola egy előfizetés alapú modellre épül, amely havi 2,50 €-tól kezdődik, és minden árkategóriában hirdetések nélkül működik. Ez alapvető különbség az olyan hirdetésalapú alkalmazásokhoz képest, mint a MyFitnessPal ingyenes verziója. Ha nincsenek hirdetések, nincs ösztönzés a felhasználói adatok hirdetési célú gyűjtésére. Az étkezési naplód, súlynaplóid és táplálkozási adataid azért léteznek, hogy téged szolgáljanak, nem pedig azért, hogy hirdetők számára profilozzanak.

A Nutrola nem adja el a felhasználói adatokat harmadik feleknek. Az alkalmazás bevétele teljes mértékben az előfizetésekből származik, ami azt jelenti, hogy az üzleti modell összhangban áll a felhasználói adatvédelmmel, nem pedig ellentétes vele. Amikor egy cég azzal keres pénzt, hogy boldoggá és megbízhatóvá teszi a felhasználókat, minden oka megvan arra, hogy megvédje az adataikat. Amikor egy cég azzal keres pénzt, hogy a felhasználói adatokat hirdetéseken keresztül monetizálja, az ösztönzők az ellenkező irányba mutatnak.

Összehasonlítás: MyFitnessPal vs Nutrola adatvédelem és funkciók

Tényező	MyFitnessPal	Nutrola
Jelentős adatlopási történelem	Igen (150M fiók, 2018)	Nem
Hirdetésalapú ingyenes verzió	Igen (súlyos hirdetések)	Nem (nulla hirdetés minden szinten)
Bevételi modell	Előfizetések + hirdetések	Csak előfizetések
Ár	Ingyenes (korlátozott) / 79,99 $ évente	Havi 2,50 €-tól
Nyomon követett tápanyagok	~6 megbízhatóan	100+
Ételadatbázis	14M+ közösségi adat	1,8M+ ellenőrzött adat
AI fénykép naplózás	Nem	Igen
Hangnaplózás	Nem	Igen
Vonalkód beolvasás	Csak prémium	Igen (minden felhasználónak)
Apple Watch + Wear OS	Alap Apple Watch csak	Mindkettő támogatott
Recept importálás	Igen	Igen (teljes táplálkozási bontással)
Támogatott nyelvek	20+	9

Mit tegyél, ha az adataid a MyFitnessPal megsértésében voltak?

Ha 2018 márciusa előtt volt MyFitnessPal fiókod, akkor az adataid valószínűleg veszélybe kerültek. Íme, mit kell tenned, ha még nem tetted meg:

1. Változtasd meg a MyFitnessPal jelszavad, ha ezt még nem tetted meg a megsértés óta. Használj erős, egyedi jelszót.
2. Változtasd meg a jelszavakat bármely más szolgáltatásban, ahol ugyanazt az e-mail és jelszó kombinációt használtad, mint a MyFitnessPal fiókodban. Ez a legfontosabb lépés a hitelesítő adatokkal való visszaélés megelőzése érdekében.
3. Engedélyezd a kétfaktoros hitelesítést a MyFitnessPal-on és minden más szolgáltatáson, amely támogatja ezt.
4. Használj jelszókezelőt az egyedi jelszavak generálására és tárolására minden szolgáltatáshoz. Ez biztosítja, hogy egy szolgáltatás megsértése ne veszélyeztesse a többi fiókodat.
5. Ellenőrizd a haveibeenpwned.com oldalon, hogy az e-mail címed megjelent-e a MyFitnessPal megsértésében vagy bármely más ismert adatlopásban.
6. Légy szkeptikus a kéretlen e-mailekkel kapcsolatban, amelyek fitnesz, diéta, táplálékkiegészítők vagy egészségügyi alkalmazásokkal kapcsolatosak. Az e-mail címed a támadók kezében van, akik tudják, hogy érdeklődsz a táplálkozás nyomon követése iránt.

Gyakran Ismételt Kérdések

Mikor történt a MyFitnessPal hack?

A MyFitnessPal-t 2018 februárjában hackelták meg. A megsértést 2018. március 25-én fedezték fel, és 2018. március 29-én nyilvánosan bejelentették. Körülbelül 150 millió felhasználói fiók került veszélybe, ami akkoriban a történelem egyik legnagyobb adatlopása volt. A MyFitnessPal a megsértés idején az Under Armour tulajdonában volt.

Milyen adatokat loptak el a MyFitnessPal hack során?

A megsértés során felhasználónevek, e-mail címek és hashelt jelszavak kerültek nyilvánosságra körülbelül 150 millió fiók esetében. Néhány jelszót bcrypt-tel (egy erős algoritmus) hash-eltek, míg másokat SHA-1-el (egy gyengébb algoritmus). Az Under Armour kijelentette, hogy a fizetési információk és a részletes egészségügyi adatok (étkezési naplók, súlynaplók) nem kerültek veszélybe.

Biztonságos a MyFitnessPal használata 2026-ban?

A MyFitnessPal biztonsági fejlesztéseket hajtott végre a 2018-as megsértés után, beleértve az erősebb jelszóhashelést és az opcionális kétfaktoros hitelesítést. Azonban az alkalmazás most egy magántőke cég tulajdonában van, hirdetési bevételre támaszkodik az ingyenes verzióból (ami ösztönzi az adatok gyűjtését), és nem teszi közzé a független biztonsági auditok eredményeit. Hogy biztonságosnak tartod-e, az a személyes kockázattűrő képességedtől és attól függ, mennyire érzékenynek tartod a táplálkozási adataidat.

Volt-e a MyFitnessPal-nak más hackelése is?

A 2018-as megsértés az egyetlen nyilvánosan megerősített jelentős adatlopás, amely a MyFitnessPal-t érintette. Azonban a 2018-as megsértésből származó adatok később megjelentek a sötét web piacain, és olyan hitelesítő adatok gyűjteményeiben is feltűntek, amelyek évekig keringtek az eredeti esemény után.

Hogyan tudom, hogy az én MyFitnessPal adataim is érintettek voltak a megsértésben?

Ha 2018 márciusa előtt volt MyFitnessPal fiókod, akkor az adataid valószínűleg érintettek voltak – a megsértés körülbelül 150 millió fiókot érintett, amelyek akkoriban léteztek. Ellenőrizheted a haveibeenpwned.com oldalon, hogy az e-mail címed megjelent-e a megsértésben. A MyFitnessPal e-mail értesítéseket is küldött az érintett felhasználóknak, és jelszó-visszaállítást követelt meg.

Melyik kalóriaszámláló a legprivátabb és legbiztonságosabb?

Keresd azokat az alkalmazásokat, amelyek előfizetés alapú üzleti modellel rendelkeznek és nincsenek hirdetéseik, mivel ezeknek kevesebb ösztönzésük van a felhasználói adatok gyűjtésére és monetizálására. A Nutrola egy előfizetés alapú modellre épül, amely havi 2,50 €-tól kezdődik, és minden szinten nulla hirdetést kínál, ami azt jelenti, hogy nincs hirdetésalapú adatgyűjtés. Az alkalmazás nem adja el a felhasználói adatokat harmadik feleknek. A magánéleten túl a Nutrola AI-alapú étkezésnaplózást (fénykép, hang, vonalkód) kínál, több mint 100 tápanyagot követ, egy 1,8 millió élelmiszerből álló ellenőrzött adatbázisból, és támogatja az Apple Watch-ot, a Wear OS-t és kilenc nyelvet.