Waarom werd MyFitnessPal gehackt? Uitleg over de inbreuk op 150 miljoen accounts

In februari 2018 heeft iemand in de systemen van MyFitnessPal ingebroken en de accountgegevens van ongeveer 150 miljoen gebruikers gestolen. Gebruikersnamen, e-mailadressen en gehashte wachtwoorden — alles werd gecompromitteerd. Op dat moment was het een van de tien grootste datalekken in de geschiedenis. Het bedrijf ontdekte de inbreuk pas in maart 2018, wat betekent dat de aanvallers ongeveer een maand toegang hadden tot gebruikersdata voordat iemand het opmerkte.

Als je MyFitnessPal vóór maart 2018 hebt gebruikt, is de kans groot dat jouw gegevens deel uitmaakten van dit datalek. En als je je nog steeds afvraagt waarom een calorie-tracking app het doelwit werd van een van de grootste hacks ooit, onthult het antwoord enkele ongemakkelijke waarheden over hoe gezondheids- en fitnessapps met jouw gegevens omgaan.

Dit artikel legt precies uit wat er is gebeurd, welke gegevens zijn blootgesteld, wat niet, of MyFitnessPal vandaag de dag veilig is om te gebruiken, en waarom de privacy van gezondheidsdata een doorslaggevende factor zou moeten zijn bij het kiezen van een voedingsapp.

Wat gebeurde er tijdens het MyFitnessPal datalek?

Hier is de chronologie van de gebeurtenissen zoals ze zich ontvouwden:

De Inbreuk: Februari 2018

In de late februari 2018 kreeg een onbevoegde partij toegang tot de gebruikersaccountgegevens van MyFitnessPal. De exacte methode van inbraak is nooit volledig openbaar gemaakt. Wat wel bekend is, is dat de aanvaller in staat was om een enorme dataset te extraheren met accountinformatie van ongeveer 150 miljoen gebruikers.

Op dat moment was MyFitnessPal in bezit van Under Armour, dat de app in 2015 voor $475 miljoen had overgenomen. Under Armour was verantwoordelijk voor de beveiliging van de infrastructuur van MyFitnessPal.

Ontdekking: 25 maart 2018

Het beveiligingsteam van MyFitnessPal identificeerde de inbreuk op 25 maart 2018 — ongeveer vier weken na de inbraak. Een periode van vier weken tussen de inbreuk en de ontdekking is niet ongebruikelijk voor datalekken van deze omvang, maar het betekent wel dat de aanvaller wekenlang ongezien toegang had tot gebruikersdata.

Openbare bekendmaking: 29 maart 2018

Under Armour maakte de inbreuk op 29 maart 2018 openbaar, slechts vier dagen na de ontdekking. Het bedrijf verwittigde de getroffen gebruikers via e-mail en in-app berichten, en vereiste dat alle accounts hun wachtwoorden opnieuw instelden.

De Nasleep

De aandelen van Under Armour daalden met ongeveer 3,8% in de dagen na de bekendmaking. De inbreuk droeg bij aan groeiende zorgen over de digitale fitnessstrategie van Under Armour en de kosten van het onderhouden van een enorme gebruikersdatabase. Twee jaar later zou Under Armour MyFitnessPal verkopen aan Francisco Partners voor $345 miljoen — $130 miljoen minder dan de oorspronkelijke aankoopprijs.

Welke gegevens zijn blootgesteld in de MyFitnessPal hack?

Het is belangrijk om precies te begrijpen wat er is gecompromitteerd — en wat niet — om het risico te beoordelen.

Gegevens die zijn gecompromitteerd

• Gebruikersnamen. De accountnamen die werden gebruikt om in te loggen op MyFitnessPal.
• E-mailadressen. De e-mailadressen die aan elk account zijn gekoppeld.
• Gehashed wachtwoorden. De wachtwoorden werden niet in platte tekst opgeslagen. Ze waren gehashed met bcrypt, een sterk hashing-algoritme. Sommige wachtwoorden waren echter gehashed met SHA-1, een zwakker algoritme dat kwetsbaarder is voor kraken.

Gegevens die niet zijn gecompromitteerd (volgens Under Armour)

• Betalingsinformatie. Under Armour verklaarde dat betalingsgegevens niet zijn aangetast omdat deze apart werden verzameld en verwerkt.
• Overheidsuitgegeven identificaties. Burgerservicenummers, rijbewijsnummers en vergelijkbare identificaties werden niet door MyFitnessPal opgeslagen en waren daarom niet blootgesteld.
• Gedetailleerde gezondheidsdata. Under Armour verklaarde dat de inbreuk accountgegevens betrof, niet de voedingsdagboekgegevens, gewichtlogs of voedingsinformatie die in de app zijn opgeslagen.

Waarom dit belangrijk is, zelfs als "slechts" e-mails en wachtwoorden zijn blootgesteld

Het is verleidelijk om de inbreuk af te doen als "slechts" gebruikersnamen en wachtwoorden. Maar de impact van deze gegevensblootstelling in de echte wereld is aanzienlijk:

• Credential stuffing aanvallen. Veel mensen hergebruiken wachtwoorden over meerdere diensten. Aanvallers die de gehashte wachtwoorden hebben gekraakt, kunnen deze gebruiken om toegang te krijgen tot andere accounts — e-mail, bankieren, sociale media, winkelen — waar dezelfde e-mail en wachtwoordcombinatie is gebruikt.
• Phishingcampagnes. Met 150 miljoen e-mailadressen die bevestigd zijn gekoppeld aan een gezondheids- en fitnessapp, hadden aanvallers een gerichte lijst voor phishing-e-mails met betrekking tot gezondheid, fitness, supplementen en diëten. Deze e-mails konden zeer overtuigend zijn omdat de aanvaller wist dat de ontvanger een calorie-tracking app gebruikte.
• Gegevens verkocht op het dark web. De gestolen MyFitnessPal-gegevens verschenen op dark web-marktplaatsen. In 2019 werd een verzameling van gecompromitteerde databases, inclusief MyFitnessPal-gegevens, te koop aangeboden voor ongeveer $20.000 in cryptocurrency.

Waarom was MyFitnessPal een doelwit?

Een calorie-tracking app lijkt misschien een ongebruikelijk doelwit voor hackers in vergelijking met banken of retailers. Maar er zijn specifieke redenen waarom MyFitnessPal aantrekkelijk was voor aanvallers.

De Schaal van de Gebruikersbasis

Met meer dan 150 miljoen accounts op dat moment had MyFitnessPal een van de grootste gebruikersdatabases van elke consumentenapp. Voor aanvallers die zich richten op het stelen van inloggegevens, maakte de enorme hoeveelheid e-mail- en wachtwoordcombinaties het een waardevol doelwit, ongeacht wat de app zelf deed.

Gezondheidsdata heeft unieke waarde

Gezondheids- en fitnessdata zijn steeds waardevoller in de datacultuur. Informatie over wat mensen eten, hoeveel ze wegen, hun fitnessdoelen en hun dieetpatronen kan worden gebruikt voor gerichte advertenties, verzekeringsprofilering en sociale manipulatie. Hoewel Under Armour verklaarde dat voedingsdagboekgegevens niet zijn gecompromitteerd in de inbreuk van 2018, maakt het louter bestaan van een enorme gezondheidsdatarepository het platform tot een doelwit.

Beveiliging was geen prioriteit

Under Armour was een sportkledingbedrijf, geen technologie- of beveiligingsbedrijf. Toen het MyFitnessPal in 2015 overnam, lag de focus op het laten groeien van de gebruikersbasis en het integreren van de app met het fitnessecosysteem van Under Armour. Investeringen in beveiligingsinfrastructuur waren geen prioriteit.

Het gebruik van SHA-1 hashing voor sommige wachtwoorden is een veelzeggend detail. SHA-1 werd jarenlang als cryptografisch zwak beschouwd voordat de inbreuk van 2018 plaatsvond. Best practices vereisten bcrypt of vergelijkbare sterke hashing-algoritmen. Het feit dat sommige MyFitnessPal-wachtwoorden nog steeds met SHA-1 waren gehashed, suggereert dat beveiligingsupgrades niet prioriteit kregen.

Is de beveiliging van MyFitnessPal verbeterd sinds de inbreuk?

Dit is de vraag die huidige en potentiële gebruikers het meest beantwoord willen hebben. Het korte antwoord: MyFitnessPal heeft verbeteringen doorgevoerd, maar de geschiedenis van het eigendom van de app en het businessmodel roept blijvende vragen op.

Wat is veranderd na de inbreuk

Na de inbreuk van 2018 heeft MyFitnessPal verschillende beveiligingsverbeteringen doorgevoerd:

• Verplichte wachtwoordreset voor alle getroffen accounts
• Verbeterde monitoring voor ongeautoriseerde toegang
• Migratie naar sterkere hashing-algoritmen voor wachtwoorden
• Twee-factor authenticatie werd uiteindelijk als optie toegevoegd

Wat is niet veranderd

Ondanks deze verbeteringen blijven verschillende structurele zorgen bestaan:

• Geen end-to-end encryptie voor gezondheidsdata. MyFitnessPal slaat voedingsdagboekgegevens, gewichtlogs en voedingsinformatie op zijn servers op. Deze gegevens zijn niet end-to-end versleuteld, wat betekent dat het bedrijf (en elke aanvaller die toegang tot de server krijgt) ze kan lezen.
• Een nieuwe eigenaar met andere prioriteiten. Francisco Partners, het private equitybedrijf dat MyFitnessPal in 2020 overnam, richt zich op het genereren van inkomsten. Investeringen in beveiliging concurreren met andere prioriteiten in dit model.
• Advertentie-gedreven gegevensverzameling. De gratis versie van MyFitnessPal wordt ondersteund door advertenties. Advertentie-ondersteunde apps verzamelen inherent meer gebruikersdata om gerichte advertenties te kunnen aanbieden. Meer gegevensverzameling betekent een groter aanvalsvlak en meer gegevens die in een potentieel datalek in gevaar komen.
• Geen openbare beveiligingsaudits. MyFitnessPal publiceert geen onafhankelijke resultaten van beveiligingsaudits. Gebruikers moeten de claims van het bedrijf over beveiligingsverbeteringen vertrouwen zonder verificatie door derden.

Waarom is de privacy van gezondheidsdata belangrijk?

Als je bijhoudt wat je eet, hoeveel je weegt, je lichaamsmetingen, je fitnessdoelen en je dieetpatronen in een app, creëer je een gedetailleerd gezondheidsprofiel. Deze gegevens zijn gevoeliger dan veel mensen zich realiseren.

Gezondheidsdata is uniek persoonlijk

Je voedingsdagboek onthult veel meer dan alleen calorieën. Het onthult medische aandoeningen (bijhouden van voedsel voor diabetesbeheer of nierziekte), patronen van mentale gezondheid (binge-eating, restrictie, emotioneel eten), reproductieve status (dieetveranderingen gerelateerd aan zwangerschap), religieuze praktijken (vasten) en sociaaleconomische informatie (voedselkeuzes weerspiegelen inkomensniveau), en meer.

Dit zijn geen gegevens die je wilt blootstellen in een datalek, verkopen aan databrokers of gebruiken voor verzekeringsprofilering.

Privacy van gezondheidsdata is een groeiende juridische zorg

Regelgeving rond de privacy van gezondheidsdata wordt wereldwijd strenger. De GDPR van de EU biedt sterke bescherming voor gezondheidsgerelateerde gegevens. In de Verenigde Staten beschermt HIPAA medische dossiers, maar dekt het geen gegevens die vrijwillig in consumentenapps zoals MyFitnessPal worden ingevoerd. Dit creëert een kloof waarin zeer gevoelige gezondheidsinformatie minder juridische bescherming heeft dan je medische dossier.

Het businessmodel is belangrijk

Hoe een bedrijf geld verdient, heeft directe invloed op hoe het met jouw gegevens omgaat. Apps die afhankelijk zijn van advertentie-inkomsten hebben een financiële prikkel om zoveel mogelijk gebruikersdata te verzamelen en deze te delen met advertentiepartners. Apps die afhankelijk zijn van abonnementen hebben een financiële prikkel om gebruikersdata te beschermen, omdat hun inkomsten voortkomen uit gebruikersvertrouwen, niet uit datamonetisatie.

Deze onderscheid is cruciaal bij het kiezen van een gezondheidsapp.

Hoe evalueer je de databeveiliging van een voedingsapp?

Als het datalek van MyFitnessPal je aan het denken heeft gezet over waar je jouw gezondheidsdata opslaat, hier is waar je op moet letten bij het evalueren van alternatieven:

Belangrijke vragen over beveiliging en privacy

Factor	Waar op te letten	Rode vlag
Businessmodel	Abonnementsbasis, geen advertenties	Advertentie-ondersteunde gratis versie met gegevensdeling
Gegevensversleuteling	End-to-end versleuteling voor gezondheidsdata	Geen versleuteling of alleen serverzijde
Privacybeleid	Duidelijk, specifiek, gemakkelijk te lezen	Vage taal over "partners" en "derden"
Gegevensverwijdering	Gemakkelijk om al je gegevens permanent te verwijderen	Geen duidelijk verwijderingsproces
Delen met derden	Minimaal of geen gegevensdeling met derden	Gegevens gedeeld met adverteerders of brokers
Beveiligingsaudits	Regelmatige onafhankelijke beveiligingsaudits	Geen openbare auditinformatie
Geschiedenis van inbreuken	Schone staat of transparant over eerdere incidenten	Geschiedenis van inbreuken met slechte bekendmaking
Gegevenslocatie	Servers in rechtsgebieden met sterke privacywetten	Geen informatie over gegevenslocatie

Hoe Nutrola omgaat met dataprivacy

Nutrola is gebouwd op een abonnementsmodel dat begint bij €2,50 per maand, zonder advertenties op elk prijsniveau. Dit is een fundamenteel verschil met advertentie-ondersteunde apps zoals de gratis versie van MyFitnessPal. Wanneer er geen advertenties zijn, is er geen prikkel om gebruikersdata voor advertentiedoeleinden te verzamelen. Je voedingsdagboek, gewichtlogs en voedingsdata zijn er om jou te dienen, niet om jou te profileren voor adverteerders.

Nutrola verkoopt geen gebruikersdata aan derden. De inkomsten van de app komen volledig uit abonnementen, wat betekent dat het businessmodel is afgestemd op gebruikersprivacy in plaats van daartegenover te staan. Wanneer een bedrijf geld verdient door gebruikers tevreden en vertrouwend te houden, heeft het alle reden om hun gegevens te beschermen. Wanneer een bedrijf geld verdient door gebruikersdata te monetiseren via advertenties, wijzen de prikkels in de tegenovergestelde richting.

Vergelijking: MyFitnessPal vs Nutrola op privacy en functies

Factor	MyFitnessPal	Nutrola
Geschiedenis van grote datalekken	Ja (150M accounts, 2018)	Nee
Advertentie-ondersteunde gratis versie	Ja (veel advertenties)	Nee (geen advertenties op alle niveaus)
Inkomstenmodel	Abonnementen + advertenties	Alleen abonnementen
Prijs	Gratis (beperkt) / $79,99 per jaar	Vanaf €2,50 per maand
Gevolgde voedingsstoffen	~6 betrouwbaar	100+
Voedsel database	14M+ crowdsourced invoer	1.8M+ geverifieerde invoer
AI foto logging	Nee	Ja
Stem logging	Nee	Ja
Barcode scannen	Alleen premium	Ja (voor alle gebruikers)
Apple Watch + Wear OS	Basis Apple Watch alleen	Beide ondersteund
Recept importeren	Ja	Ja (met volledige voedingsanalyse)
Ondersteunde talen	20+	9

Wat moet je doen als jouw gegevens in het MyFitnessPal datalek zijn betrokken?

Als je vóór maart 2018 een MyFitnessPal-account had, is de kans groot dat jouw gegevens zijn gecompromitteerd. Hier is wat je moet doen als je dat nog niet hebt gedaan:

1. Verander je MyFitnessPal-wachtwoord als je dat sinds de inbreuk nog niet hebt gedaan. Gebruik een sterk, uniek wachtwoord.
2. Verander wachtwoorden op andere diensten waar je dezelfde e-mail en wachtwoordcombinatie hebt gebruikt als je MyFitnessPal-account. Dit is de belangrijkste stap om credential stuffing-aanvallen te voorkomen.
3. Schakel twee-factor authenticatie in op MyFitnessPal en elke andere dienst die dit ondersteunt.
4. Gebruik een wachtwoordmanager om unieke wachtwoorden voor elke dienst te genereren en op te slaan. Dit zorgt ervoor dat een inbreuk op één dienst je andere accounts niet compromitteert.
5. Controleer haveibeenpwned.com om te zien of jouw e-mailadres is verschenen in het MyFitnessPal-datalek of een ander bekend datalek.
6. Wees sceptisch over ongevraagde e-mails met betrekking tot fitness, diëten, supplementen of gezondheidsapps. Jouw e-mailadres is in handen van aanvallers die weten dat je geïnteresseerd bent in voedingsregistratie.

Veelgestelde Vragen

Wanneer werd MyFitnessPal gehackt?

MyFitnessPal werd gehackt in februari 2018. De inbreuk werd ontdekt op 25 maart 2018 en openbaar gemaakt op 29 maart 2018. Ongeveer 150 miljoen gebruikersaccounts werden gecompromitteerd, waardoor het op dat moment een van de grootste datalekken in de geschiedenis was. MyFitnessPal was tijdens de inbreuk in bezit van Under Armour.

Welke gegevens zijn gestolen in de MyFitnessPal hack?

De inbreuk heeft gebruikersnamen, e-mailadressen en gehashte wachtwoorden van ongeveer 150 miljoen accounts blootgesteld. Sommige wachtwoorden waren gehashed met bcrypt (een sterk algoritme), terwijl andere SHA-1 (een zwakker algoritme) gebruikten. Under Armour verklaarde dat betalingsinformatie en gedetailleerde gezondheidsdata (voedingsdagboeken, gewichtlogs) niet zijn gecompromitteerd.

Is MyFitnessPal veilig om te gebruiken in 2026?

MyFitnessPal heeft beveiligingsverbeteringen doorgevoerd na de inbreuk van 2018, waaronder sterkere wachtwoordhashing en optionele twee-factor authenticatie. De app is nu echter in handen van een private equitybedrijf, afhankelijk van advertentie-inkomsten van de gratis versie (wat gegevensverzameling stimuleert), en publiceert geen onafhankelijke resultaten van beveiligingsaudits. Of je het "veilig" vindt, hangt af van je persoonlijke risicotolerantie en hoe gevoelig je jouw voedingsdata beschouwt.

Is MyFitnessPal meer dan eens gehackt?

De inbreuk van 2018 is de enige publiekelijk bevestigde grote datalek die MyFitnessPal heeft getroffen. De gecompromitteerde gegevens van de inbreuk van 2018 werden echter later verkocht op dark web-marktplaatsen en verschenen in credential dump-collecties die jarenlang na het oorspronkelijke incident circuleerden.

Hoe weet ik of mijn MyFitnessPal-gegevens in de inbreuk zaten?

Als je vóór maart 2018 een MyFitnessPal-account had, zijn jouw gegevens vrijwel zeker getroffen — de inbreuk heeft ongeveer 150 miljoen van de ongeveer 150 miljoen accounts die op dat moment bestonden, gecompromitteerd. Je kunt checken op haveibeenpwned.com om te bevestigen of jouw e-mailadres in de inbreuk is verschenen. MyFitnessPal heeft ook e-mailmeldingen gestuurd naar getroffen gebruikers en vereiste wachtwoordresets.

Welke calorie-tracker is het meest privé en veilig?

Zoek naar apps met abonnementsgebaseerde businessmodellen en geen advertenties, omdat deze minder prikkel hebben om gebruikersdata te verzamelen en te monetiseren. Nutrola opereert op een abonnementsmodel dat begint bij €2,50 per maand zonder advertenties op elk niveau, wat betekent dat er geen advertentie-gedreven gegevensverzameling is. De app verkoopt geen gebruikersdata aan derden. Naast privacy biedt Nutrola AI-gestuurde voedingsregistratie (foto, stem, barcode), volgt het meer dan 100 voedingsstoffen uit een geverifieerde database van 1,8 miljoen voedingsmiddelen en ondersteunt het Apple Watch, Wear OS en negen talen.