Perché MyFitnessPal è stato hackerato? Spiegazione della violazione di 150 milioni di account

Nel febbraio 2018, qualcuno è riuscito a violare i sistemi di MyFitnessPal e ha rubato i dati degli account di circa 150 milioni di utenti. Nomi utente, indirizzi email e password criptate: tutto compromesso. All'epoca, si trattava di una delle dieci più grandi violazioni di dati della storia. L'azienda ha scoperto la violazione solo nel marzo 2018, il che significa che gli aggressori avevano accesso ai dati degli utenti per circa un mese prima che qualcuno se ne accorgesse.

Se hai utilizzato MyFitnessPal prima di marzo 2018, è quasi certo che i tuoi dati siano stati coinvolti in questa violazione. E se ti stai ancora chiedendo perché un'app per il monitoraggio delle calorie sia diventata il bersaglio di uno dei più grandi attacchi mai registrati, la risposta rivela alcune verità scomode su come le app per la salute e il fitness gestiscono i tuoi dati.

Questo articolo spiega esattamente cosa è successo, quali dati sono stati esposti, quali no, se MyFitnessPal è sicuro da usare oggi e perché la privacy dei dati sulla salute dovrebbe essere un fattore decisivo nella scelta dell'app nutrizionale di cui ti fidi.

Cosa è successo nella violazione dei dati di MyFitnessPal?

Ecco la cronologia degli eventi come si sono svolti:

La violazione: febbraio 2018

Alla fine di febbraio 2018, una parte non autorizzata ha ottenuto accesso ai dati degli account degli utenti di MyFitnessPal. Il metodo esatto di intrusione non è mai stato completamente rivelato al pubblico. Ciò che è noto è che l'aggressore è riuscito a estrarre un enorme dataset contenente informazioni sugli account di circa 150 milioni di utenti.

All'epoca, MyFitnessPal era di proprietà di Under Armour, che aveva acquisito l'app nel 2015 per 475 milioni di dollari. Under Armour era responsabile della sicurezza dell'infrastruttura di MyFitnessPal.

Scoperta: 25 marzo 2018

Il team di sicurezza di MyFitnessPal ha identificato la violazione il 25 marzo 2018, circa quattro settimane dopo che si era verificata l'intrusione. Un intervallo di quattro settimane tra la violazione e la rilevazione non è insolito per violazioni di dati di questa portata, ma significa che l'aggressore ha avuto accesso non rilevato ai dati degli utenti per settimane.

Comunicazione pubblica: 29 marzo 2018

Under Armour ha comunicato pubblicamente la violazione il 29 marzo 2018, solo quattro giorni dopo averla scoperta. L'azienda ha informato gli utenti interessati tramite email e messaggi nell'app, richiedendo il ripristino delle password per tutti gli account.

Le conseguenze

Le azioni di Under Armour sono scese di circa il 3,8% nei giorni successivi alla comunicazione. La violazione ha contribuito a far crescere le preoccupazioni riguardo alla strategia digitale di fitness di Under Armour e ai costi di mantenimento di un enorme database di utenti. Due anni dopo, Under Armour avrebbe venduto MyFitnessPal a Francisco Partners per 345 milioni di dollari, 130 milioni in meno rispetto al prezzo di acquisto originale.

Quali dati sono stati esposti nell'hackeraggio di MyFitnessPal?

Comprendere esattamente cosa è stato compromesso — e cosa non lo è stato — è importante per valutare il rischio.

Dati compromessi

• Nomi utente. I nomi degli account utilizzati per accedere a MyFitnessPal.
• Indirizzi email. Gli indirizzi email associati a ciascun account.
• Password criptate. Le password non erano memorizzate in testo semplice. Erano criptate utilizzando bcrypt, un algoritmo di hashing robusto. Tuttavia, alcune password erano criptate con SHA-1, un algoritmo più debole e vulnerabile.

Dati non compromessi (secondo Under Armour)

• Informazioni di pagamento. Under Armour ha dichiarato che i dati delle carte di pagamento non sono stati interessati perché venivano raccolti e elaborati separatamente.
• Identificatori rilasciati dal governo. Numeri di previdenza sociale, numeri di patente e identificatori simili non erano memorizzati da MyFitnessPal e quindi non sono stati esposti.
• Dati sanitari dettagliati. Under Armour ha affermato che la violazione ha coinvolto le credenziali degli account, non i dati del diario alimentare, i registri di peso o le informazioni nutrizionali memorizzate nell'app.

Perché questo è importante anche se sono stati esposti "solo" email e password

È facile liquidare la violazione come "solo" nomi utente e password. Ma l'impatto reale di questo tipo di esposizione dei dati è significativo:

• Attacchi di credential stuffing. Molte persone riutilizzano le password su più servizi. Gli aggressori che hanno decifrato le password criptate potrebbero usarle per accedere ad altri account — email, banche, social media, acquisti — dove è stata utilizzata la stessa combinazione di email e password.
• Campagne di phishing. Con 150 milioni di indirizzi email confermati associati a un'app per la salute e il fitness, gli aggressori avevano una lista mirata per email di phishing relative a salute, fitness, integratori e diete. Queste email potrebbero risultare molto convincenti perché l'aggressore sapeva che il destinatario utilizzava un'app per il monitoraggio delle calorie.
• Dati venduti nel dark web. I dati rubati di MyFitnessPal sono apparsi nei mercati del dark web. Nel 2019, una raccolta di database violati, compresi i dati di MyFitnessPal, è stata offerta in vendita per circa 20.000 dollari in criptovaluta.

Perché MyFitnessPal è stato un obiettivo?

Un'app per il monitoraggio delle calorie potrebbe sembrare un obiettivo insolito per gli hacker rispetto a banche o rivenditori. Ma ci sono motivi specifici per cui MyFitnessPal era attraente per gli aggressori.

La scala della base utenti

Con oltre 150 milioni di account all'epoca, MyFitnessPal aveva uno dei più grandi database di utenti di qualsiasi app per consumatori. Per gli aggressori focalizzati sul furto di credenziali, il volume di combinazioni di email e password rendeva l'app un obiettivo di alto valore, indipendentemente da ciò che l'app stessa facesse.

I dati sulla salute hanno un valore unico

I dati sulla salute e il fitness sono sempre più preziosi nell'economia dei dati. Le informazioni su cosa mangiano le persone, quanto pesano, i loro obiettivi di fitness e i loro schemi alimentari possono essere utilizzate per pubblicità mirata, profilazione assicurativa e ingegneria sociale. Anche se Under Armour ha dichiarato che i dati del diario alimentare non sono stati compromessi nella violazione del 2018, la semplice esistenza di un enorme repository di dati sulla salute rende la piattaforma un obiettivo.

La sicurezza non era una priorità

Under Armour era un'azienda di abbigliamento sportivo, non una società tecnologica o di sicurezza. Quando ha acquisito MyFitnessPal nel 2015, l'attenzione era rivolta alla crescita della base utenti e all'integrazione dell'app nell'ecosistema fitness di Under Armour. L'investimento nell'infrastruttura di sicurezza non era una priorità.

L'uso di SHA-1 per alcune password è un dettaglio rivelatore. SHA-1 era considerato crittograficamente debole da anni prima della violazione del 2018. Le migliori pratiche richiedevano bcrypt o algoritmi di hashing robusti simili. Il fatto che alcune password di MyFitnessPal fossero ancora criptate con SHA-1 suggerisce che gli aggiornamenti di sicurezza non erano una priorità.

La sicurezza di MyFitnessPal è migliorata dopo la violazione?

Questa è la domanda a cui gli utenti attuali e potenziali hanno più bisogno di rispondere. La risposta breve: MyFitnessPal ha apportato miglioramenti, ma la storia di proprietà e il modello di business dell'app sollevano domande persistenti.

Cosa è cambiato dopo la violazione

Dopo la violazione del 2018, MyFitnessPal ha implementato diversi miglioramenti di sicurezza:

• Ripristino obbligatorio delle password per tutti gli account interessati
• Monitoraggio potenziato per accessi non autorizzati
• Migrazione verso algoritmi di hashing più robusti per le password
• Autenticazione a due fattori è stata infine aggiunta come opzione

Cosa non è cambiato

Nonostante questi miglioramenti, rimangono diverse preoccupazioni strutturali:

• Nessuna crittografia end-to-end per i dati sulla salute. MyFitnessPal memorizza i dati del diario alimentare, i registri di peso e le informazioni nutrizionali sui propri server. Questi dati non sono crittografati end-to-end, il che significa che l'azienda (e qualsiasi aggressore che ottiene accesso ai server) può leggerli.
• Un nuovo proprietario con priorità diverse. Francisco Partners, la società di private equity che ha acquisito MyFitnessPal nel 2020, si concentra sulla generazione di entrate. L'investimento nella sicurezza compete con altre priorità in questo modello.
• Raccolta di dati guidata dalla pubblicità. Il piano gratuito di MyFitnessPal è supportato dalla pubblicità. Le app supportate dalla pubblicità raccolgono intrinsecamente più dati sugli utenti per servire annunci mirati. Maggiore raccolta di dati significa una superficie di attacco più ampia e più dati a rischio in una potenziale violazione.
• Nessun audit di sicurezza pubblico. MyFitnessPal non pubblica i risultati di audit di sicurezza indipendenti. Gli utenti devono fidarsi delle affermazioni dell'azienda riguardo ai miglioramenti della sicurezza senza verifica di terze parti.

Perché la privacy dei dati sulla salute è importante?

Se monitori cosa mangi, quanto pesi, le tue misure corporee, i tuoi obiettivi di fitness e i tuoi schemi alimentari in un'app, stai creando un profilo sanitario dettagliato. Questi dati sono più sensibili di quanto molte persone realizzino.

I dati sulla salute sono unici e personali

Il tuo diario alimentare rivela molto più che conteggi calorici. Rivela condizioni mediche (monitoraggio del cibo per la gestione del diabete o malattie renali), schemi di salute mentale (abbuffate, restrizioni, alimentazione emotiva), stato riproduttivo (cambiamenti dietetici legati alla gravidanza), pratiche religiose (schemi di digiuno), informazioni socioeconomiche (le scelte alimentari riflettono il livello di reddito) e altro ancora.

Questi non sono dati che vuoi esporre in una violazione, vendere a broker di dati o utilizzare per la profilazione assicurativa.

La privacy dei dati sulla salute è una preoccupazione legale crescente

Le normative sulla privacy dei dati sulla salute si stanno inasprendo a livello globale. Il GDPR dell'UE fornisce forti protezioni per i dati relativi alla salute. Negli Stati Uniti, l'HIPAA protegge i registri medici ma non copre i dati inseriti volontariamente in app per consumatori come MyFitnessPal. Questo crea un divario in cui informazioni sanitarie altamente sensibili hanno meno protezioni legali rispetto alla tua cartella clinica.

Il modello di business conta

Il modo in cui un'azienda guadagna influisce direttamente su come gestisce i tuoi dati. Le app che si basano su entrate pubblicitarie hanno un incentivo finanziario a raccogliere il maggior numero possibile di dati sugli utenti e a condividerli con partner pubblicitari. Le app che si basano su abbonamenti hanno un incentivo finanziario a proteggere i dati degli utenti perché le loro entrate derivano dalla fiducia degli utenti, non dalla monetizzazione dei dati.

Questa distinzione è fondamentale nella scelta di un'app per la salute.

Come valutare la sicurezza dei dati di un'app nutrizionale

Se la violazione di MyFitnessPal ti ha fatto riflettere su dove memorizzi i tuoi dati sulla salute, ecco cosa cercare quando valuti alternative:

Domande chiave sulla sicurezza e privacy

Fattore	Cosa cercare	Bandiera rossa
Modello di business	Basato su abbonamento, senza pubblicità	Piano gratuito supportato da pubblicità con condivisione dei dati
Crittografia dei dati	Crittografia end-to-end per i dati sulla salute	Nessuna crittografia o solo lato server
Politica sulla privacy	Chiara, specifica, facile da leggere	Linguaggio vago su "partner" e "terze parti"
Cancellazione dei dati	Facile da eliminare permanentemente tutti i tuoi dati	Nessun processo di cancellazione chiaro
Condivisione con terze parti	Minima o nessuna condivisione dei dati con terze parti	Dati condivisi con inserzionisti o broker
Audit di sicurezza	Audit di sicurezza indipendenti regolari	Nessuna informazione pubblica sugli audit
Storia delle violazioni	Record pulito o trasparente sugli incidenti passati	Storia di violazioni con scarsa comunicazione
Posizione dei dati	Server in giurisdizioni con leggi sulla privacy forti	Nessuna informazione sulla posizione dei dati

Come Nutrola affronta la privacy dei dati

Nutrola si basa su un modello di abbonamento a partire da €2,50 al mese, senza pubblicità in nessuna fascia di prezzo. Questa è una differenza fondamentale rispetto alle app supportate da pubblicità come il piano gratuito di MyFitnessPal. Quando non ci sono pubblicità, non c'è incentivo a raccogliere dati sugli utenti per scopi pubblicitari. Il tuo diario alimentare, i registri di peso e i dati nutrizionali esistono per servirti, non per profilarti per gli inserzionisti.

Nutrola non vende i dati degli utenti a terzi. Le entrate dell'app provengono interamente da abbonamenti, il che significa che il modello di business è allineato con la privacy degli utenti anziché opposto. Quando un'azienda guadagna mantenendo gli utenti felici e fiduciosi, ha ogni motivo di proteggere i loro dati. Quando un'azienda guadagna monetizzando i dati degli utenti attraverso la pubblicità, gli incentivi puntano nella direzione opposta.

Confronto: MyFitnessPal vs Nutrola su privacy e funzionalità

Fattore	MyFitnessPal	Nutrola
Storia di violazioni di dati importanti	Sì (150 milioni di account, 2018)	No
Piano gratuito supportato da pubblicità	Sì (pubblicità pesante)	No (zero pubblicità in tutte le fasce)
Modello di entrate	Abbonamenti + pubblicità	Solo abbonamenti
Prezzo	Gratuito (limitato) / $79,99 all'anno	A partire da €2,50 al mese
Nutrienti tracciati	~6 in modo affidabile	100+
Database alimentare	14M+ voci crowdsourced	1.8M+ voci verificate
Registrazione foto AI	No	Sì
Registrazione vocale	No	Sì
Scansione codice a barre	Solo premium	Sì (tutti gli utenti)
Apple Watch + Wear OS	Solo Apple Watch base	Entrambi supportati
Importazione ricette	Sì	Sì (con analisi nutrizionale completa)
Lingue supportate	20+	9

Cosa dovresti fare se i tuoi dati erano nella violazione di MyFitnessPal?

Se avevi un account MyFitnessPal prima di marzo 2018, è probabile che i tuoi dati siano stati compromessi. Ecco cosa dovresti fare se non lo hai già fatto:

1. Cambia la tua password di MyFitnessPal se non l'hai già fatto dopo la violazione. Usa una password forte e unica.
2. Cambia le password su qualsiasi altro servizio dove hai utilizzato la stessa combinazione di email e password del tuo account MyFitnessPal. Questo è il passo più importante per prevenire attacchi di credential stuffing.
3. Abilita l'autenticazione a due fattori su MyFitnessPal e su ogni altro servizio che la supporta.
4. Usa un gestore di password per generare e memorizzare password uniche per ogni servizio. Questo assicura che una violazione di un servizio non comprometta i tuoi altri account.
5. Controlla haveibeenpwned.com per vedere se il tuo indirizzo email è apparso nella violazione di MyFitnessPal o in qualsiasi altra violazione di dati nota.
6. Sii scettico riguardo a email non richieste relative a fitness, diete, integratori o app per la salute. Il tuo indirizzo email è nelle mani di aggressori che sanno che sei interessato al monitoraggio della nutrizione.

Domande frequenti

Quando è stato hackerato MyFitnessPal?

MyFitnessPal è stato hackerato nel febbraio 2018. La violazione è stata scoperta il 25 marzo 2018 e comunicata pubblicamente il 29 marzo 2018. Circa 150 milioni di account utente sono stati compromessi, rendendola una delle più grandi violazioni di dati della storia all'epoca. MyFitnessPal era di proprietà di Under Armour durante la violazione.

Quali dati sono stati rubati nell'hackeraggio di MyFitnessPal?

La violazione ha esposto nomi utente, indirizzi email e password criptate per circa 150 milioni di account. Alcune password erano criptate con bcrypt (un algoritmo forte) mentre altre utilizzavano SHA-1 (un algoritmo più debole). Under Armour ha dichiarato che le informazioni di pagamento e i dati sanitari dettagliati (diari alimentari, registri di peso) non sono stati compromessi.

È sicuro usare MyFitnessPal nel 2026?

MyFitnessPal ha implementato miglioramenti di sicurezza dopo la violazione del 2018, inclusi hashing delle password più forti e autenticazione a due fattori opzionale. Tuttavia, l'app è ora di proprietà di una società di private equity, si basa su entrate pubblicitarie dal piano gratuito (che incentiva la raccolta di dati) e non pubblica risultati di audit di sicurezza indipendenti. Se lo consideri "sicuro" dipende dalla tua tolleranza al rischio personale e da quanto sensibili consideri i tuoi dati nutrizionali.

MyFitnessPal è stato hackerato più di una volta?

La violazione del 2018 è l'unica violazione di dati importanti confermata pubblicamente che ha colpito MyFitnessPal. Tuttavia, i dati compromessi nella violazione del 2018 sono stati successivamente venduti nei mercati del dark web e sono apparsi in collezioni di dump di credenziali che sono circolate per anni dopo l'incidente originale.

Come posso sapere se i miei dati MyFitnessPal erano nella violazione?

Se avevi un account MyFitnessPal prima di marzo 2018, è quasi certo che i tuoi dati siano stati coinvolti: la violazione ha compromesso circa 150 milioni dei circa 150 milioni di account esistenti all'epoca. Puoi controllare haveibeenpwned.com per confermare se il tuo indirizzo email è apparso nella violazione. MyFitnessPal ha anche inviato notifiche via email agli utenti interessati e ha richiesto ripristini delle password.

Qual è il tracker di calorie più privato e sicuro?

Cerca app con modelli di business basati su abbonamenti e senza pubblicità, poiché queste hanno meno incentivo a raccogliere e monetizzare i dati degli utenti. Nutrola opera su un modello di abbonamento a partire da €2,50 al mese con zero pubblicità in qualsiasi fascia, il che significa che non c'è raccolta di dati guidata dalla pubblicità. L'app non vende i dati degli utenti a terzi. Oltre alla privacy, Nutrola offre registrazione alimentare potenziata da AI (foto, voce, codice a barre), traccia oltre 100 nutrienti da un database verificato di 1,8 milioni di alimenti e supporta Apple Watch, Wear OS e nove lingue.