Hvorfor Ble MyFitnessPal Hacket? Forklaring på Bruddet av 150 Millioner Kontoer

I februar 2018 brøt noen seg inn i MyFitnessPals systemer og stjal kontodataene til omtrent 150 millioner brukere. Brukernavn, e-postadresser og hashede passord – alt ble kompromittert. På den tiden var det et av de ti største databruddene i historien. Selskapet oppdaget ikke bruddet før i mars 2018, noe som betydde at angriperne hadde tilgang til brukernes data i omtrent en måned før noen merket noe.

Hvis du brukte MyFitnessPal før mars 2018, var dataene dine nesten helt sikkert en del av dette bruddet. Og hvis du fortsatt lurer på hvorfor en kaloritracker-app ble målet for et av de største hackene som noen gang er registrert, avslører svaret noen ubehagelige sannheter om hvordan helse- og treningsapper håndterer dataene dine.

Denne artikkelen forklarer nøyaktig hva som skjedde, hvilke data som ble eksponert, hva som ikke ble det, om MyFitnessPal er trygt å bruke i dag, og hvorfor personvernet rundt helsedata bør være en avgjørende faktor når du velger hvilken ernæringsapp du stoler på.

Hva Skjedde i MyFitnessPal Databruddet?

Her er tidslinjen for hendelsene som utspilte seg:

Bruddet: Februar 2018

I slutten av februar 2018 fikk en uautorisert part tilgang til MyFitnessPals brukerkontodata. Den nøyaktige metoden for inntrengingen ble aldri fullt ut offentliggjort. Det som er kjent, er at angriperen klarte å trekke ut et enormt datasett som inneholdt kontoinformasjon for omtrent 150 millioner brukere.

På den tiden var MyFitnessPal eid av Under Armour, som hadde kjøpt appen i 2015 for 475 millioner dollar. Under Armour var ansvarlig for sikkerheten til MyFitnessPals infrastruktur.

Oppdagelse: 25. mars 2018

MyFitnessPals sikkerhetsteam identifiserte bruddet 25. mars 2018 – omtrent fire uker etter at inntrengingen skjedde. En fire ukers forsinkelse mellom brudd og oppdagelse er ikke uvanlig for databrudd av denne størrelsen, men det betyr at angriperen hadde uoppdaget tilgang til brukernes data i flere uker.

Offentlig Avsløring: 29. mars 2018

Under Armour offentliggjorde bruddet 29. mars 2018, bare fire dager etter at det ble oppdaget. Selskapet varslet berørte brukere via e-post og meldinger i appen, og krevde passordresetter for alle kontoer.

Etterspillet

Under Armours aksje falt med omtrent 3,8 % i dagene etter avsløringen. Bruddet bidro til økende bekymringer rundt Under Armours digitale treningsstrategi og kostnadene ved å opprettholde en stor brukerbase. To år senere solgte Under Armour MyFitnessPal til Francisco Partners for 345 millioner dollar – 130 millioner dollar mindre enn den opprinnelige kjøpesummen.

Hvilke Data Ble Eksponert i MyFitnessPal Hack?

Å forstå nøyaktig hva som ble kompromittert – og hva som ikke ble det – er viktig for å vurdere risikoen.

Data Som Ble Kompromittert

• Brukernavn. Kontonavnene som ble brukt for å logge inn på MyFitnessPal.
• E-postadresser. E-postadressene knyttet til hver konto.
• Hashede passord. Passordene ble ikke lagret i klartekst. De ble hashet med bcrypt, en sterk hashing-algoritme. Imidlertid ble noen passord hashet med SHA-1, en svakere algoritme som er mer sårbar for cracking.

Data Som Ikke Ble Kompromittert (Ifølge Under Armour)

• Betalingsinformasjon. Under Armour oppga at betalingskortdata ikke ble berørt fordi det ble samlet inn og behandlet separat.
• Offentlige identifikatorer. Sosial sikkerhetsnumre, førerkortnumre og lignende identifikatorer ble ikke lagret av MyFitnessPal og var derfor ikke eksponert.
• Detaljerte helsedata. Under Armour uttalte at bruddet involverte kontoinformasjon, ikke data fra matdagboken, vektlogger eller næringsinformasjon lagret i appen.

Hvorfor Dette Betyr Noe Selv Om "Bare" E-poster og Passord Ble Eksponert

Det er fristende å avfeie bruddet som "bare" brukernavn og passord. Men den virkelige konsekvensen av denne typen datalekkasje er betydelig:

• Credential stuffing-angrep. Mange mennesker gjenbruker passord på tvers av flere tjenester. Angripere som klarte å knekke de hashende passordene, kunne bruke dem til å få tilgang til andre kontoer – e-post, bank, sosiale medier, shopping – der samme e-post- og passordkombinasjon ble brukt.
• Phishing-kampanjer. Med 150 millioner e-postadresser bekreftet å være knyttet til en helse- og treningsapp, hadde angriperne en målrettet liste for phishing-e-poster relatert til helse, trening, kosttilskudd og dieting. Disse e-postene kunne være svært overbevisende fordi angriperen visste at mottakeren brukte en kaloritracker-app.
• Data solgt på det mørke nettet. De stjålne MyFitnessPal-dataene dukket opp på markedsplasser på det mørke nettet. I 2019 ble en samling av brudddatabaser, inkludert MyFitnessPal-data, tilbudt for salg for omtrent 20 000 dollar i kryptovaluta.

Hvorfor Var MyFitnessPal et Mål?

En kaloritracker-app kan virke som et uvanlig mål for hackere sammenlignet med banker eller detaljhandlere. Men det er spesifikke grunner til at MyFitnessPal var attraktiv for angripere.

Størrelsen på Brukerbasen

Med over 150 millioner kontoer på den tiden hadde MyFitnessPal en av de største brukerdatabasene av alle forbrukerapper. For angripere som fokuserte på tyveri av legitimasjon, gjorde det enorme volumet av e-post- og passordkombinasjoner det til et høyt verdsatt mål, uansett hva appen selv gjorde.

Helsedata Har Unik Verdi

Helse- og treningsdata blir stadig mer verdifulle i datamarkedet. Informasjon om hva folk spiser, hvor mye de veier, deres treningsmål og kostholdsmønstre kan brukes til målrettet annonsering, forsikringsprofilering og sosial manipulering. Selv om Under Armour uttalte at data fra matdagboken ikke ble kompromittert i bruddet i 2018, gjør selve eksistensen av et massivt helsedata-repositorium plattformen til et mål.

Sikkerhet Var Ikke Prioritet

Under Armour var et sportsmerke, ikke et teknologiselskap eller sikkerhetsselskap. Da de kjøpte MyFitnessPal i 2015, var fokuset på å øke brukerbasen og integrere appen med Under Armours treningsøkosystem. Investering i sikkerhetsinfrastruktur var ikke en prioritet.

Bruken av SHA-1-hashing for noen passord er et avslørende detalj. SHA-1 hadde vært ansett som kryptografisk svak i flere år før bruddet i 2018. Beste praksis anbefalte bcrypt eller lignende sterke hashing-algoritmer. Det faktum at noen MyFitnessPal-passord fortsatt var hashet med SHA-1 tyder på at sikkerhetsoppgraderinger ikke ble prioritert.

Har MyFitnessPals Sikkerhet Bedret Seg Siden Bruddet?

Dette er spørsmålet som nåværende og potensielle brukere mest trenger svar på. Den korte svaret: MyFitnessPal har gjort forbedringer, men appens eierskapshistorie og forretningsmodell reiser fortsatt spørsmål.

Hva Endret Seg Etter Bruddet

Etter bruddet i 2018 implementerte MyFitnessPal flere sikkerhetsforbedringer:

• Obligatoriske passordresetter for alle berørte kontoer
• Forbedret overvåking for uautorisert tilgang
• Migrering til sterkere hashing-algoritmer for passord
• To-faktorautentisering ble etter hvert lagt til som et alternativ

Hva Har Ikke Endret Seg

Til tross for disse forbedringene, gjenstår flere strukturelle bekymringer:

• Ingen ende-til-ende kryptering for helsedata. MyFitnessPal lagrer data fra matdagboken, vektlogger og næringsinformasjon på sine servere. Disse dataene er ikke ende-til-ende kryptert, noe som betyr at selskapet (og enhver angriper som får tilgang til serveren) kan lese dem.
• En ny eier med andre prioriteringer. Francisco Partners, private equity-firmaet som kjøpte MyFitnessPal i 2020, fokuserer på inntektsgenerering. Investering i sikkerhet konkurrerer med andre prioriteringer i denne modellen.
• Annonse-drevet datainnsamling. Den gratis versjonen av MyFitnessPal støttes av annonser. Annonse-støttede apper samler i utgangspunktet inn mer brukerdata for å kunne vise målrettede annonser. Mer datainnsamling betyr et større angrepspunkt og mer data i risiko ved et potensielt brudd.
• Ingen offentlige sikkerhetsrevisjoner. MyFitnessPal publiserer ikke resultater fra uavhengige sikkerhetsrevisjoner. Brukere må stole på selskapets påstander om sikkerhetsforbedringer uten tredjepartsverifisering.

Hvorfor Betyr Personvern Rundt Helsedata Noe?

Hvis du sporer hva du spiser, hvor mye du veier, kroppsmålene dine, treningsmålene dine og kostholdsmønstrene dine i en app, lager du en detaljert helseprofil. Disse dataene er mer sensitive enn mange mennesker innser.

Helsedata Er Unikt Personlige

Matdagboken din avslører langt mer enn kalorier. Den avslører medisinske tilstander (sporing av mat for diabetesbehandling eller nyresykdom), mønstre i mental helse (overspising, restriksjon, emosjonell spising), reproduktiv status (kostholdsendringer relatert til graviditet), religiøse praksiser (faste-mønstre), sosioøkonomisk informasjon (matvalg reflekterer inntektsnivå) og mer.

Dette er ikke data du ønsker å få eksponert i et brudd, solgt til datamarkedsførere eller brukt til forsikringsprofilering.

Personvern Rundt Helsedata Er En Voksende Juridisk Bekymring

Reguleringer rundt personvern for helsedata blir strammere globalt. EUs GDPR gir sterke beskyttelser for helserelaterte data. I USA beskytter HIPAA medisinske journaler, men dekker ikke data som frivillig legges inn i forbrukerapper som MyFitnessPal. Dette skaper et gap der svært sensitive helsedata har færre juridiske beskyttelser enn din medisinske journal.

Forretningsmodellen Betyr Noe

Hvordan et selskap tjener penger påvirker direkte hvordan det håndterer dataene dine. Apper som er avhengige av annonseinntekter har et økonomisk insentiv til å samle så mye brukerdata som mulig og dele det med annonsepartnere. Apper som er avhengige av abonnementer har et økonomisk insentiv til å beskytte brukerdataene, fordi inntekten deres kommer fra brukertillit, ikke datamonetisering.

Denne distinksjonen er kritisk når du velger en helseapp.

Hvordan Evaluere Sikkerheten til En Ernæringsapp

Hvis MyFitnessPal-bruddet fikk deg til å tenke deg om to ganger før du lagrer helsedataene dine, her er hva du bør se etter når du vurderer alternativer:

Viktige Sikkerhets- og Personvernspørsmål

Faktor	Hva Du Bør Se Etter	Rødt Flagg
Forretningsmodell	Abonnementsbasert, ingen annonser	Annonse-støttet gratisversjon med datadeling
Datakryptering	Ende-til-ende kryptering for helsedata	Ingen kryptering eller bare server-side
Personvernerklæring	Klar, spesifikk, lett å lese	Vage formuleringer om "partnere" og "tredjeparter"
Datadele	Enkel å slette all data permanent	Ingen klar prosess for sletting
Tredjepartsdeling	Minimal eller ingen deling av data med tredjeparter	Data delt med annonsører eller meglere
Sikkerhetsrevisjoner	Regelmessige uavhengige sikkerhetsrevisjoner	Ingen offentlig revisjonsinformasjon
Bruddshistorikk	Ren post eller åpen om tidligere hendelser	Historikk med brudd og dårlig avsløring
Dataplassering	Servere i jurisdiksjoner med sterke personvernlovgivning	Ingen informasjon om dataplassering

Hvordan Nutrola Tilnærmer Seg Dataprivacy

Nutrola er bygget på en abonnementsmodell som starter på €2,50 per måned uten annonser på alle prispunkter. Dette er en grunnleggende forskjell fra annonse-støttede apper som MyFitnessPals gratisversjon. Når det ikke er annonser, er det ingen insentiv til å samle brukerdata for annonseformål. Matdagboken din, vektlogger og næringsdata eksisterer for å tjene deg, ikke for å profilere deg for annonsører.

Nutrola selger ikke brukerdata til tredjeparter. Appens inntekter kommer utelukkende fra abonnementer, noe som betyr at forretningsmodellen er tilpasset brukerens personvern i stedet for å være imot det. Når et selskap tjener penger på å holde brukerne fornøyde og tillitsfulle, har det alle grunner til å beskytte dataene deres. Når et selskap tjener penger på å monetisere brukerdata gjennom annonsering, peker insentivene i motsatt retning.

Sammenligning: MyFitnessPal vs Nutrola om Personvern og Funksjoner

Faktor	MyFitnessPal	Nutrola
Historikk med store databrudd	Ja (150M kontoer, 2018)	Nei
Annonse-støttet gratisversjon	Ja (mye annonser)	Nei (ingen annonser på alle nivåer)
Inntektsmodell	Abonnement + annonser	Kun abonnementer
Pris	Gratis (begrenset) / $79,99 per år	Fra €2,50 per måned
Næringsstoffer sporet	~6 pålitelig	100+
Matdatabase	14M+ crowdsourced oppføringer	1.8M+ verifiserte oppføringer
AI foto logging	Nei	Ja
Stemmelogging	Nei	Ja
Strekkodeskanning	Premium bare	Ja (alle brukere)
Apple Watch + Wear OS	Grunnleggende Apple Watch bare	Begge støttet
Oppskriftimport	Ja	Ja (med full næringsoversikt)
Støttede språk	20+	9

Hva Bør Du Gjøre Hvis Dataene Dine Var i MyFitnessPal Bruddet?

Hvis du hadde en MyFitnessPal-konto før mars 2018, var dataene dine sannsynligvis kompromittert. Her er hva du bør gjøre hvis du ikke allerede har gjort det:

1. Endre MyFitnessPal-passordet ditt hvis du ikke har gjort det siden bruddet. Bruk et sterkt, unikt passord.
2. Endre passordene på alle andre tjenester der du brukte samme e-post- og passordkombinasjon som din MyFitnessPal-konto. Dette er det viktigste steget for å forhindre credential stuffing-angrep.
3. Aktiver to-faktorautentisering på MyFitnessPal og alle andre tjenester som støtter det.
4. Bruk en passordbehandler for å generere og lagre unike passord for hver tjeneste. Dette sikrer at et brudd på én tjeneste ikke kompromitterer de andre kontoene dine.
5. Sjekk haveibeenpwned.com for å se om e-postadressen din dukket opp i MyFitnessPal-bruddet eller andre kjente databrudd.
6. Vær skeptisk til uoppfordrede e-poster relatert til trening, dieting, kosttilskudd eller helseapper. E-postadressen din er i hendene på angripere som vet at du er interessert i kostholdssporing.

Ofte Stilte Spørsmål

Når ble MyFitnessPal hacket?

MyFitnessPal ble hacket i februar 2018. Bruddet ble oppdaget 25. mars 2018 og offentliggjort 29. mars 2018. Omtrent 150 millioner brukerkontoer ble kompromittert, noe som gjorde det til et av de største databruddene i historien på den tiden. MyFitnessPal var eid av Under Armour under bruddet.

Hvilke data ble stjålet i MyFitnessPal-hacket?

Bruddet eksponerte brukernavn, e-postadresser og hashede passord for omtrent 150 millioner kontoer. Noen passord ble hashet med bcrypt (en sterk algoritme), mens andre brukte SHA-1 (en svakere algoritme). Under Armour uttalte at betalingsinformasjon og detaljerte helsedata (matdagbøker, vektlogger) ikke ble kompromittert.

Er MyFitnessPal trygt å bruke i 2026?

MyFitnessPal implementerte sikkerhetsforbedringer etter bruddet i 2018, inkludert sterkere passordhashing og valgfri to-faktorautentisering. Imidlertid eies appen nå av et private equity-firma, er avhengig av annonseinntekter fra gratisversjonen (som incentiviserer datainnsamling), og publiserer ikke uavhengige sikkerhetsrevisjonsresultater. Om du anser det som "trygt" avhenger av din personlige risikotoleranse og hvor sensitiv du anser kostholdsdataene dine.

Har MyFitnessPal blitt hacket mer enn én gang?

Bruddet i 2018 er det eneste offentlig bekreftede store databruddet som påvirker MyFitnessPal. Imidlertid ble de kompromitterte dataene fra bruddet i 2018 senere solgt på markeder på det mørke nettet og dukket opp i samlinger av legitimasjonsdump som sirkulerte i flere år etter den opprinnelige hendelsen.

Hvordan vet jeg om dataene mine fra MyFitnessPal var i bruddet?

Hvis du hadde en MyFitnessPal-konto før mars 2018, var dataene dine nesten helt sikkert berørt – bruddet kompromitterte omtrent 150 millioner av de omtrent 150 millioner kontoene som eksisterte på den tiden. Du kan sjekke haveibeenpwned.com for å bekrefte om e-postadressen din dukket opp i bruddet. MyFitnessPal sendte også e-postvarsler til berørte brukere og krevde passordresetter.

Hvilken kaloritracker er den mest private og sikre?

Se etter apper med abonnementsbaserte forretningsmodeller og ingen annonser, da disse har mindre insentiv til å samle og monetisere brukerdata. Nutrola opererer på en abonnementsmodell som starter på €2,50 per måned uten annonser på noe nivå, noe som betyr at det ikke er noen annonse-drevet datainnsamling. Appen selger ikke brukerdata til tredjeparter. I tillegg til personvern tilbyr Nutrola AI-drevet matlogging (foto, stemme, strekkode), sporer over 100 næringsstoffer fra en verifisert database med 1,8 millioner matvarer, og støtter Apple Watch, Wear OS og ni språk.