Dlaczego MyFitnessPal został zhakowany? Wyjaśnienie naruszenia danych 150 milionów kont

W lutym 2018 roku doszło do włamania do systemów MyFitnessPal, w wyniku którego skradziono dane kont około 150 milionów użytkowników. Ujawniono nazwy użytkowników, adresy e-mail oraz hasła w postaci skrótów — wszystkie te dane zostały skompromitowane. W tamtym czasie było to jedno z dziesięciu największych naruszeń danych w historii. Firma odkryła włamanie dopiero w marcu 2018 roku, co oznacza, że napastnicy mieli dostęp do danych użytkowników przez około miesiąc, zanim ktokolwiek to zauważył.

Jeśli korzystałeś z MyFitnessPal przed marcem 2018 roku, twoje dane z pewnością były częścią tego naruszenia. A jeśli nadal zastanawiasz się, dlaczego aplikacja do śledzenia kalorii stała się celem jednego z największych ataków w historii, odpowiedź ujawnia niepokojące prawdy o tym, jak aplikacje zdrowotne i fitnessowe zarządzają twoimi danymi.

W tym artykule wyjaśnimy, co dokładnie się wydarzyło, jakie dane zostały ujawnione, co nie zostało skompromitowane, czy MyFitnessPal jest teraz bezpieczny w użyciu, oraz dlaczego prywatność danych zdrowotnych powinna być kluczowym czynnikiem przy wyborze aplikacji żywieniowej, której ufasz.

Co się wydarzyło w naruszeniu danych MyFitnessPal?

Oto chronologia wydarzeń:

Naruszenie: luty 2018

Pod koniec lutego 2018 roku nieautoryzowana strona uzyskała dostęp do danych kont użytkowników MyFitnessPal. Dokładna metoda włamania nigdy nie została w pełni ujawniona publicznie. Wiadomo, że napastnik był w stanie wydobyć ogromny zbiór danych zawierający informacje o kontach około 150 milionów użytkowników.

W tamtym czasie MyFitnessPal był własnością Under Armour, które nabyło aplikację w 2015 roku za 475 milionów dolarów. Under Armour odpowiadało za bezpieczeństwo infrastruktury MyFitnessPal.

Odkrycie: 25 marca 2018

Zespół bezpieczeństwa MyFitnessPal zidentyfikował naruszenie 25 marca 2018 roku — około cztery tygodnie po tym, jak miało miejsce włamanie. Czas czterech tygodni między naruszeniem a wykryciem nie jest niezwykły dla tego typu incydentów, ale oznacza, że napastnik miał tygodnie nieodkrytego dostępu do danych użytkowników.

Publiczne ujawnienie: 29 marca 2018

Under Armour publicznie ujawniło naruszenie 29 marca 2018 roku, zaledwie cztery dni po jego odkryciu. Firma powiadomiła dotkniętych użytkowników za pośrednictwem e-maili i wiadomości w aplikacji, wymagając resetowania haseł dla wszystkich kont.

Następstwa

Akcje Under Armour spadły o około 3,8% w dniach po ujawnieniu naruszenia. Incydent przyczynił się do rosnących obaw o strategię cyfrową Under Armour w zakresie fitnessu oraz koszty utrzymania ogromnej bazy użytkowników. Dwa lata później Under Armour sprzedało MyFitnessPal firmie Francisco Partners za 345 milionów dolarów — o 130 milionów mniej niż pierwotna cena zakupu.

Jakie dane zostały ujawnione w hacku MyFitnessPal?

Zrozumienie, co dokładnie zostało skompromitowane — a co nie — jest ważne dla oceny ryzyka.

Dane, które zostały skompromitowane

• Nazwy użytkowników. Nazwy kont używane do logowania się do MyFitnessPal.
• Adresy e-mail. Adresy e-mail powiązane z każdym kontem.
• Hasła w postaci skrótów. Hasła nie były przechowywane w postaci tekstu jawnego. Zostały one zhashowane przy użyciu bcrypt, silnego algorytmu haszującego. Niemniej jednak, niektóre hasła zostały zhashowane przy użyciu SHA-1, słabszego algorytmu, który jest bardziej podatny na łamanie.

Dane, które nie zostały skompromitowane (według Under Armour)

• Informacje płatnicze. Under Armour stwierdziło, że dane kart płatniczych nie zostały naruszone, ponieważ były zbierane i przetwarzane oddzielnie.
• Identyfikatory wydane przez rząd. Numery ubezpieczenia społecznego, numery prawa jazdy i podobne identyfikatory nie były przechowywane przez MyFitnessPal, a zatem nie zostały ujawnione.
• Szczegółowe dane zdrowotne. Under Armour stwierdziło, że naruszenie dotyczyło danych logowania, a nie danych z dziennika żywności, logów wagi czy informacji żywieniowych przechowywanych w aplikacji.

Dlaczego to ma znaczenie, nawet jeśli ujawniono "tylko" e-maile i hasła

Łatwo jest zlekceważyć naruszenie jako "tylko" nazwy użytkowników i hasła. Jednak rzeczywisty wpływ tego rodzaju ujawnienia danych jest znaczący:

• Ataki typu credential stuffing. Wiele osób używa tych samych haseł w różnych usługach. Napastnicy, którzy złamali hasła w postaci skrótów, mogą użyć ich do uzyskania dostępu do innych kont — e-mailowych, bankowych, społecznościowych, zakupowych — gdzie użyto tej samej kombinacji e-maila i hasła.
• Kampanie phishingowe. Posiadając 150 milionów adresów e-mail powiązanych z aplikacją zdrowotną i fitnessową, napastnicy mieli celowaną listę do wysyłania wiadomości phishingowych związanych ze zdrowiem, fitness, suplementami i dietą. Te e-maile mogą być bardzo przekonujące, ponieważ napastnik wiedział, że odbiorca korzystał z aplikacji do śledzenia kalorii.
• Sprzedaż danych w dark webie. Sk stolen MyFitnessPal data appeared on dark web marketplaces. W 2019 roku zbiór naruszonych baz danych, w tym dane MyFitnessPal, oferowano na sprzedaż za około 20 000 dolarów w kryptowalutach.

Dlaczego MyFitnessPal był celem?

Aplikacja do śledzenia kalorii może wydawać się nietypowym celem dla hakerów w porównaniu do banków czy detalistów. Istnieją jednak konkretne powody, dla których MyFitnessPal był atrakcyjny dla napastników.

Skala bazy użytkowników

Z ponad 150 milionami kont w tamtym czasie, MyFitnessPal miał jedną z największych baz użytkowników wśród aplikacji konsumenckich. Dla napastników skupionych na kradzieży danych uwierzytelniających, ogromna liczba kombinacji e-maili i haseł czyniła go celem o wysokiej wartości, niezależnie od tego, co sama aplikacja robiła.

Dane zdrowotne mają unikalną wartość

Dane zdrowotne i fitnessowe stają się coraz bardziej cenne w gospodarce danych. Informacje o tym, co ludzie jedzą, ile ważą, jakie mają cele fitnessowe i jakie są ich wzorce żywieniowe, mogą być wykorzystywane do reklamy ukierunkowanej, profilowania ubezpieczeniowego i inżynierii społecznej. Choć Under Armour stwierdziło, że dane z dziennika żywności nie zostały skompromitowane w naruszeniu z 2018 roku, sama obecność ogromnego repozytorium danych zdrowotnych czyni tę platformę celem.

Bezpieczeństwo nie było priorytetem

Under Armour było firmą odzieżową, a nie technologiczną czy zabezpieczeń. Kiedy nabyło MyFitnessPal w 2015 roku, skupiono się na zwiększeniu bazy użytkowników i integracji aplikacji z ekosystemem fitnessowym Under Armour. Inwestycje w infrastrukturę bezpieczeństwa nie były priorytetem.

Użycie haszowania SHA-1 dla niektórych haseł to wymowny szczegół. SHA-1 był uważany za kryptograficznie słaby przez lata przed naruszeniem w 2018 roku. Najlepsze praktyki zalecały bcrypt lub podobne silne algorytmy haszujące. Fakt, że niektóre hasła MyFitnessPal były nadal haszowane przy użyciu SHA-1, sugeruje, że aktualizacje bezpieczeństwa nie były priorytetem.

Czy bezpieczeństwo MyFitnessPal poprawiło się od czasu naruszenia?

To pytanie, na które obecni i potencjalni użytkownicy najbardziej potrzebują odpowiedzi. Krótka odpowiedź: MyFitnessPal wprowadził poprawki, ale historia własności aplikacji i model biznesowy budzą ciągłe wątpliwości.

Co się zmieniło po naruszeniu

Po naruszeniu w 2018 roku MyFitnessPal wprowadził kilka ulepszeń w zakresie bezpieczeństwa:

• Obowiązkowe resetowanie haseł dla wszystkich dotkniętych kont
• Zwiększone monitorowanie nieautoryzowanego dostępu
• Migracja do silniejszych algorytmów haszowania dla haseł
• Dwuskładnikowa autoryzacja została ostatecznie dodana jako opcja

Co się nie zmieniło

Pomimo tych ulepszeń, kilka strukturalnych problemów pozostaje:

• Brak szyfrowania end-to-end dla danych zdrowotnych. MyFitnessPal przechowuje dane z dziennika żywności, logi wagi i informacje żywieniowe na swoich serwerach. Te dane nie są szyfrowane end-to-end, co oznacza, że firma (i każdy napastnik, który uzyska dostęp do serwera) może je odczytać.
• Nowy właściciel z innymi priorytetami. Francisco Partners, firma private equity, która nabyła MyFitnessPal w 2020 roku, koncentruje się na generowaniu przychodów. Inwestycje w bezpieczeństwo konkurują z innymi priorytetami w tym modelu.
• Zbieranie danych napędzane reklamami. Bezpłatna wersja MyFitnessPal jest wspierana przez reklamy. Aplikacje wspierane reklamami z definicji zbierają więcej danych użytkowników, aby serwować ukierunkowane reklamy. Większa zbiór danych oznacza większą powierzchnię ataku i więcej danych narażonych w przypadku potencjalnego naruszenia.
• Brak publicznych audytów bezpieczeństwa. MyFitnessPal nie publikuje wyników niezależnych audytów bezpieczeństwa. Użytkownicy muszą ufać twierdzeniom firmy o poprawie bezpieczeństwa bez weryfikacji przez strony trzecie.

Dlaczego prywatność danych zdrowotnych ma znaczenie?

Jeśli śledzisz, co jesz, ile ważysz, swoje pomiary ciała, cele fitnessowe i wzorce żywieniowe w aplikacji, tworzysz szczegółowy profil zdrowotny. Te dane są bardziej wrażliwe, niż wiele osób zdaje sobie sprawę.

Dane zdrowotne są wyjątkowo osobiste

Twój dziennik żywności ujawnia znacznie więcej niż tylko liczby kalorii. Ujawnia warunki medyczne (śledzenie żywności w zarządzaniu cukrzycą lub chorobą nerek), wzorce zdrowia psychicznego (objadanie się, restrykcje, jedzenie emocjonalne), status reprodukcyjny (zmiany żywieniowe związane z ciążą), praktyki religijne (wzorce postu), informacje socjoekonomiczne (wybory żywieniowe odzwierciedlają poziom dochodów) i więcej.

To nie są dane, które chcesz, aby były ujawnione w wyniku naruszenia, sprzedane brokerom danych lub wykorzystane do profilowania ubezpieczeniowego.

Prywatność danych zdrowotnych to rosnąca kwestia prawna

Regulacje dotyczące prywatności danych zdrowotnych zaostrzają się na całym świecie. RODO w UE zapewnia silną ochronę danych związanych ze zdrowiem. W Stanach Zjednoczonych HIPAA chroni dokumentację medyczną, ale nie obejmuje danych dobrowolnie wprowadzonych do aplikacji konsumenckich, takich jak MyFitnessPal. Tworzy to lukę, w której wysoko wrażliwe informacje zdrowotne mają mniej ochrony prawnej niż twoja karta medyczna.

Model biznesowy ma znaczenie

To, jak firma zarabia pieniądze, bezpośrednio wpływa na to, jak zarządza twoimi danymi. Aplikacje, które polegają na przychodach z reklam, mają finansowy bodziec do zbierania jak największej ilości danych użytkowników i dzielenia się nimi z partnerami reklamowymi. Aplikacje, które opierają się na subskrypcjach, mają finansowy bodziec do ochrony danych użytkowników, ponieważ ich przychody pochodzą z zaufania użytkowników, a nie z monetyzacji danych.

To rozróżnienie jest kluczowe przy wyborze aplikacji zdrowotnej.

Jak ocenić bezpieczeństwo danych aplikacji żywieniowej

Jeśli naruszenie MyFitnessPal skłoniło cię do zastanowienia się, gdzie przechowujesz swoje dane zdrowotne, oto na co zwrócić uwagę przy ocenie alternatyw:

Kluczowe pytania dotyczące bezpieczeństwa i prywatności

Czynnik	Na co zwrócić uwagę	Czerwony flag
Model biznesowy	Oparty na subskrypcji, bez reklam	Bezpłatna wersja wspierana reklamami z udostępnianiem danych
Szyfrowanie danych	Szyfrowanie end-to-end dla danych zdrowotnych	Brak szyfrowania lub tylko po stronie serwera
Polityka prywatności	Jasna, konkretna, łatwa do przeczytania	Niejasny język dotyczący "partnerów" i "stron trzecich"
Usuwanie danych	Łatwe do trwałego usunięcia wszystkich danych	Brak jasnego procesu usuwania
Udostępnianie danych osobom trzecim	Minimalne lub brak udostępniania danych osobom trzecim	Dane udostępniane reklamodawcom lub brokerom
Audyty bezpieczeństwa	Regularne niezależne audyty bezpieczeństwa	Brak publicznych informacji o audytach
Historia naruszeń	Czysta historia lub przejrzystość w sprawie przeszłych incydentów	Historia naruszeń z słabym ujawnieniem
Lokalizacja danych	Serwery w jurysdykcjach z silnymi przepisami o prywatności	Brak informacji o lokalizacji danych

Jak Nutrola podchodzi do prywatności danych

Nutrola opiera się na modelu subskrypcyjnym zaczynającym się od 2,50 € miesięcznie, bez reklam na każdym poziomie cenowym. To fundamentalna różnica w porównaniu do aplikacji wspieranych reklamami, takich jak bezpłatna wersja MyFitnessPal. Gdy nie ma reklam, nie ma bodźca do zbierania danych użytkowników w celach reklamowych. Twój dziennik żywności, logi wagi i dane żywieniowe istnieją, aby służyć tobie, a nie aby profilować cię dla reklamodawców.

Nutrola nie sprzedaje danych użytkowników osobom trzecim. Przychody aplikacji pochodzą wyłącznie z subskrypcji, co oznacza, że model biznesowy jest zgodny z prywatnością użytkowników, a nie sprzeczny z nią. Gdy firma zarabia pieniądze, dbając o zadowolenie i zaufanie użytkowników, ma wszelkie powody, aby chronić ich dane. Gdy firma zarabia pieniądze, monetyzując dane użytkowników poprzez reklamy, bodźce wskazują w przeciwnym kierunku.

Porównanie: MyFitnessPal vs Nutrola pod względem prywatności i funkcji

Czynnik	MyFitnessPal	Nutrola
Historia poważnych naruszeń danych	Tak (150M kont, 2018)	Nie
Wersja bezpłatna wspierana reklamami	Tak (intensywne reklamy)	Nie (zero reklam na wszystkich poziomach)
Model przychodów	Subskrypcje + reklamy	Tylko subskrypcje
Cena	Bezpłatnie (ograniczone) / 79,99 USD rocznie	Od 2,50 € miesięcznie
Śledzone składniki odżywcze	~6 wiarygodnie	100+
Baza danych żywności	14M+ wpisów z crowdsourcingu	1,8M+ zweryfikowanych wpisów
AI do logowania zdjęć	Nie	Tak
Logowanie głosowe	Nie	Tak
Skanowanie kodów kreskowych	Tylko premium	Tak (wszyscy użytkownicy)
Apple Watch + Wear OS	Tylko podstawowy Apple Watch	Oba wspierane
Import przepisów	Tak	Tak (z pełnym rozkładem wartości odżywczych)
Obsługiwane języki	20+	9

Co powinieneś zrobić, jeśli twoje dane były w naruszeniu MyFitnessPal?

Jeśli miałeś konto MyFitnessPal przed marcem 2018 roku, twoje dane prawdopodobnie zostały skompromitowane. Oto, co powinieneś zrobić, jeśli jeszcze tego nie zrobiłeś:

1. Zmień swoje hasło MyFitnessPal, jeśli nie zrobiłeś tego od czasu naruszenia. Użyj silnego, unikalnego hasła.
2. Zmień hasła w każdej innej usłudze, gdzie używałeś tej samej kombinacji e-maila i hasła co w swoim koncie MyFitnessPal. To najważniejszy krok, aby zapobiec atakom typu credential stuffing.
3. Włącz dwuskładnikową autoryzację w MyFitnessPal i każdej innej usłudze, która to wspiera.
4. Użyj menedżera haseł, aby generować i przechowywać unikalne hasła dla każdej usługi. To zapewnia, że naruszenie jednej usługi nie kompromituje twoich innych kont.
5. Sprawdź haveibeenpwned.com, aby zobaczyć, czy twój adres e-mail pojawił się w naruszeniu MyFitnessPal lub jakimkolwiek innym znanym naruszeniu danych.
6. Bądź sceptyczny wobec niezamówionych e-maili związanych z fitnessem, dietą, suplementami lub aplikacjami zdrowotnymi. Twój adres e-mail jest w rękach napastników, którzy wiedzą, że interesujesz się śledzeniem żywności.

Najczęściej zadawane pytania

Kiedy MyFitnessPal został zhakowany?

MyFitnessPal został zhakowany w lutym 2018 roku. Naruszenie zostało odkryte 25 marca 2018 roku, a publicznie ujawnione 29 marca 2018 roku. Około 150 milionów kont użytkowników zostało skompromitowanych, co czyni to jednym z największych naruszeń danych w historii w tamtym czasie. MyFitnessPal był własnością Under Armour w czasie naruszenia.

Jakie dane zostały skradzione w hacku MyFitnessPal?

Naruszenie ujawniło nazwy użytkowników, adresy e-mail i hasła w postaci skrótów dla około 150 milionów kont. Niektóre hasła zostały zhashowane przy użyciu bcrypt (silnego algorytmu), podczas gdy inne używały SHA-1 (słabszego algorytmu). Under Armour stwierdziło, że informacje płatnicze i szczegółowe dane zdrowotne (dzienniki żywności, logi wagi) nie zostały skompromitowane.

Czy MyFitnessPal jest bezpieczny w użyciu w 2026 roku?

MyFitnessPal wprowadził ulepszenia bezpieczeństwa po naruszeniu w 2018 roku, w tym silniejsze haszowanie haseł i opcjonalną dwuskładnikową autoryzację. Jednak aplikacja jest teraz własnością firmy private equity, polega na przychodach z reklam z bezpłatnej wersji (co zachęca do zbierania danych) i nie publikuje wyników niezależnych audytów bezpieczeństwa. To, czy uważasz ją za "bezpieczną", zależy od twojej osobistej tolerancji ryzyka i tego, jak wrażliwe uważasz swoje dane żywieniowe.

Czy MyFitnessPal był zhakowany więcej niż raz?

Naruszenie z 2018 roku to jedyne publicznie potwierdzone poważne naruszenie danych dotyczące MyFitnessPal. Niemniej jednak skompromitowane dane z naruszenia z 2018 roku zostały następnie sprzedane na rynkach dark web i pojawiły się w zbiorach danych z naruszeniami, które krążyły przez lata po oryginalnym incydencie.

Jak mogę sprawdzić, czy moje dane MyFitnessPal były w naruszeniu?

Jeśli miałeś konto MyFitnessPal przed marcem 2018 roku, twoje dane prawdopodobnie zostały dotknięte — naruszenie skompromitowało około 150 milionów z około 150 milionów kont, które istniały w tamtym czasie. Możesz sprawdzić haveibeenpwned.com, aby potwierdzić, czy twój adres e-mail pojawił się w naruszeniu. MyFitnessPal również wysłało powiadomienia e-mailowe do dotkniętych użytkowników i wymagało resetowania haseł.

Który tracker kalorii jest najbardziej prywatny i bezpieczny?

Szukaj aplikacji z modelami biznesowymi opartymi na subskrypcji i bez reklam, ponieważ te mają mniejszy bodziec do zbierania i monetyzacji danych użytkowników. Nutrola działa na modelu subskrypcyjnym zaczynającym się od 2,50 € miesięcznie, bez reklam na żadnym poziomie, co oznacza, że nie ma zbierania danych napędzanego reklamami. Aplikacja nie sprzedaje danych użytkowników osobom trzecim. Oprócz prywatności, Nutrola oferuje logowanie żywności oparte na AI (zdjęcia, głos, kody kreskowe), śledzi ponad 100 składników odżywczych z zweryfikowanej bazy danych 1,8 miliona produktów i wspiera Apple Watch, Wear OS oraz dziewięć języków.