Por Que o MyFitnessPal Foi Hackeado? A Violação de 150 Milhões de Contas Explicada

Em fevereiro de 2018, alguém invadiu os sistemas do MyFitnessPal e roubou os dados de conta de aproximadamente 150 milhões de usuários. Nomes de usuário, endereços de e-mail e senhas criptografadas — tudo comprometido. Naquele momento, foi uma das dez maiores violações de dados da história. A empresa só descobriu a violação em março de 2018, o que significa que os atacantes tiveram acesso aos dados dos usuários por cerca de um mês antes que alguém percebesse.

Se você usou o MyFitnessPal antes de março de 2018, seus dados quase certamente foram parte dessa violação. E se você ainda está se perguntando por que um aplicativo de rastreamento de calorias se tornou o alvo de um dos maiores hacks já registrados, a resposta revela algumas verdades desconfortáveis sobre como os aplicativos de saúde e fitness lidam com seus dados.

Este artigo explica exatamente o que aconteceu, quais dados foram expostos, o que não foi, se o MyFitnessPal é seguro para uso hoje e por que a privacidade dos dados de saúde deve ser um fator decisivo na escolha do aplicativo de nutrição em que você confia.

O Que Aconteceu na Violação de Dados do MyFitnessPal?

Aqui está a linha do tempo dos eventos conforme se desenrolaram:

A Violação: Fevereiro de 2018

No final de fevereiro de 2018, uma parte não autorizada obteve acesso aos dados de conta dos usuários do MyFitnessPal. O método exato da intrusão nunca foi totalmente divulgado ao público. O que se sabe é que o atacante conseguiu extrair um enorme conjunto de dados contendo informações de conta de aproximadamente 150 milhões de usuários.

Na época, o MyFitnessPal era propriedade da Under Armour, que adquiriu o aplicativo em 2015 por US$ 475 milhões. A Under Armour era responsável pela segurança da infraestrutura do MyFitnessPal.

Descoberta: 25 de Março de 2018

A equipe de segurança do MyFitnessPal identificou a violação em 25 de março de 2018 — cerca de quatro semanas após a intrusão ocorrer. Um intervalo de quatro semanas entre a violação e a detecção não é incomum para violações de dados dessa magnitude, mas significa que o atacante teve semanas de acesso não detectado aos dados dos usuários.

Divulgação Pública: 29 de Março de 2018

A Under Armour divulgou publicamente a violação em 29 de março de 2018, apenas quatro dias após descobri-la. A empresa notificou os usuários afetados por e-mail e mensagens no aplicativo, exigindo a redefinição de senhas para todas as contas.

As Consequências

As ações da Under Armour caíram aproximadamente 3,8% nos dias seguintes à divulgação. A violação contribuiu para as crescentes preocupações sobre a estratégia digital de fitness da Under Armour e os custos de manutenção de um enorme banco de dados de usuários. Dois anos depois, a Under Armour venderia o MyFitnessPal para a Francisco Partners por US$ 345 milhões — US$ 130 milhões a menos do que o preço de compra original.

Quais Dados Foram Expostos no Hack do MyFitnessPal?

Entender exatamente o que foi comprometido — e o que não foi — é importante para avaliar o risco.

Dados Que Foram Comprometidos

• Nomes de usuário. Os nomes de conta usados para acessar o MyFitnessPal.
• Endereços de e-mail. Os endereços de e-mail associados a cada conta.
• Senhas criptografadas. As senhas não foram armazenadas em texto simples. Elas foram criptografadas usando bcrypt, um algoritmo de hash forte. No entanto, algumas senhas foram criptografadas com SHA-1, um algoritmo mais fraco que é mais vulnerável a ataques.

Dados Que Não Foram Comprometidos (Segundo a Under Armour)

• Informações de pagamento. A Under Armour afirmou que os dados do cartão de pagamento não foram afetados porque foram coletados e processados separadamente.
• Identificadores emitidos pelo governo. Números de Seguro Social, números de carteira de motorista e identificadores semelhantes não eram armazenados pelo MyFitnessPal e, portanto, não foram expostos.
• Dados de saúde detalhados. A Under Armour afirmou que a violação envolveu credenciais de conta, não os dados do diário alimentar, registros de peso ou informações nutricionais armazenadas no aplicativo.

Por Que Isso Importa Mesmo Que "Apenas" E-mails e Senhas Tenham Sido Expostos

É tentador desconsiderar a violação como "apenas" nomes de usuário e senhas. Mas o impacto real desse tipo de exposição de dados é significativo:

• Ataques de credential stuffing. Muitas pessoas reutilizam senhas em vários serviços. Atacantes que decifram as senhas criptografadas podem usá-las para acessar outras contas — e-mail, bancos, redes sociais, compras — onde a mesma combinação de e-mail e senha foi utilizada.
• Campanhas de phishing. Com 150 milhões de endereços de e-mail confirmados como associados a um aplicativo de saúde e fitness, os atacantes tinham uma lista direcionada para e-mails de phishing relacionados à saúde, fitness, suplementos e dietas. Esses e-mails poderiam ser altamente convincentes porque o atacante sabia que o destinatário usava um aplicativo de rastreamento de calorias.
• Dados vendidos na dark web. Os dados roubados do MyFitnessPal apareceram em mercados da dark web. Em 2019, uma coleção de bancos de dados violados, incluindo dados do MyFitnessPal, foi oferecida à venda por aproximadamente US$ 20.000 em criptomoeda.

Por Que o MyFitnessPal Foi um Alvo?

Um aplicativo de rastreamento de calorias pode parecer um alvo incomum para hackers em comparação com bancos ou varejistas. Mas há razões específicas pelas quais o MyFitnessPal era atraente para os atacantes.

A Escala da Base de Usuários

Com mais de 150 milhões de contas na época, o MyFitnessPal tinha um dos maiores bancos de dados de usuários de qualquer aplicativo de consumo. Para atacantes focados no roubo de credenciais, o volume de combinações de e-mail e senha tornava-o um alvo de alto valor, independentemente do que o aplicativo realmente fazia.

Dados de Saúde Têm Valor Único

Dados de saúde e fitness estão se tornando cada vez mais valiosos na economia de dados. Informações sobre o que as pessoas comem, quanto pesam, seus objetivos de fitness e seus padrões alimentares podem ser usadas para publicidade direcionada, perfis de seguros e engenharia social. Embora a Under Armour tenha afirmado que os dados do diário alimentar não foram comprometidos na violação de 2018, a mera existência de um enorme repositório de dados de saúde torna a plataforma um alvo.

A Segurança Não Era a Prioridade

A Under Armour era uma empresa de roupas esportivas, não uma empresa de tecnologia ou segurança. Quando adquiriu o MyFitnessPal em 2015, o foco estava em aumentar a base de usuários e integrar o aplicativo ao ecossistema de fitness da Under Armour. O investimento em infraestrutura de segurança não era a prioridade principal.

O uso de hashing SHA-1 para algumas senhas é um detalhe revelador. O SHA-1 já era considerado criptograficamente fraco há anos antes da violação de 2018. As melhores práticas exigiam bcrypt ou algoritmos de hash fortes semelhantes. O fato de que algumas senhas do MyFitnessPal ainda eram criptografadas com SHA-1 sugere que as atualizações de segurança não estavam sendo priorizadas.

A Segurança do MyFitnessPal Melhorou Desde a Violação?

Esta é a pergunta que os usuários atuais e potenciais mais precisam responder. A resposta curta: o MyFitnessPal fez melhorias, mas a história de propriedade e o modelo de negócios do aplicativo levantam questões contínuas.

O Que Mudou Após a Violação

Após a violação de 2018, o MyFitnessPal implementou várias melhorias de segurança:

• Redefinições de senha obrigatórias para todas as contas afetadas
• Monitoramento aprimorado para acessos não autorizados
• Migração para algoritmos de hash mais fortes para senhas
• Autenticação em duas etapas foi eventualmente adicionada como uma opção

O Que Não Mudou

Apesar dessas melhorias, várias preocupações estruturais permanecem:

• Sem criptografia de ponta a ponta para dados de saúde. O MyFitnessPal armazena dados do diário alimentar, registros de peso e informações nutricionais em seus servidores. Esses dados não são criptografados de ponta a ponta, o que significa que a empresa (e qualquer atacante que ganhe acesso ao servidor) pode lê-los.
• Um novo proprietário com prioridades diferentes. A Francisco Partners, a empresa de private equity que adquiriu o MyFitnessPal em 2020, está focada na geração de receita. O investimento em segurança compete com outras prioridades nesse modelo.
• Coleta de dados impulsionada por publicidade. O nível gratuito do MyFitnessPal é sustentado por publicidade. Aplicativos suportados por anúncios coletam inerentemente mais dados dos usuários para servir anúncios direcionados. Mais coleta de dados significa uma superfície de ataque maior e mais dados em risco em uma possível violação.
• Sem auditorias de segurança públicas. O MyFitnessPal não publica resultados de auditorias de segurança independentes. Os usuários precisam confiar nas alegações da empresa sobre melhorias de segurança sem verificação de terceiros.

Por Que a Privacidade dos Dados de Saúde Importa?

Se você rastreia o que come, quanto pesa, suas medidas corporais, seus objetivos de fitness e seus padrões alimentares em um aplicativo, está criando um perfil de saúde detalhado. Esses dados são mais sensíveis do que muitas pessoas percebem.

Dados de Saúde São Unicamente Pessoais

Seu diário alimentar revela muito mais do que contagens de calorias. Ele revela condições médicas (rastreamento de alimentos para gerenciamento de diabetes ou doenças renais), padrões de saúde mental (compulsão alimentar, restrição, alimentação emocional), status reprodutivo (mudanças dietéticas relacionadas à gravidez), práticas religiosas (padrões de jejum), informações socioeconômicas (escolhas alimentares refletem nível de renda) e muito mais.

Esses não são dados que você deseja expor em uma violação, vender para corretores de dados ou usar para perfis de seguros.

A Privacidade dos Dados de Saúde É uma Preocupação Legal Crescente

As regulamentações em torno da privacidade dos dados de saúde estão se tornando mais rigorosas globalmente. O GDPR da UE oferece fortes proteções para dados relacionados à saúde. Nos Estados Unidos, o HIPAA protege registros médicos, mas não cobre dados inseridos voluntariamente em aplicativos de consumo como o MyFitnessPal. Isso cria uma lacuna onde informações de saúde altamente sensíveis têm menos proteções legais do que seu prontuário médico.

O Modelo de Negócios Importa

Como uma empresa ganha dinheiro afeta diretamente como ela lida com seus dados. Aplicativos que dependem de receita publicitária têm um incentivo financeiro para coletar o máximo de dados dos usuários possível e compartilhá-los com parceiros de publicidade. Aplicativos que dependem de assinaturas têm um incentivo financeiro para proteger os dados dos usuários, pois sua receita vem da confiança dos usuários, não da monetização de dados.

Essa distinção é crítica ao escolher um aplicativo de saúde.

Como Avaliar a Segurança dos Dados de um Aplicativo de Nutrição

Se a violação do MyFitnessPal fez você pensar duas vezes sobre onde armazena seus dados de saúde, aqui está o que procurar ao avaliar alternativas:

Principais Questões de Segurança e Privacidade

Fator	O Que Procurar	Sinal de Alerta
Modelo de negócios	Baseado em assinaturas, sem anúncios	Nível gratuito suportado por anúncios com compartilhamento de dados
Criptografia de dados	Criptografia de ponta a ponta para dados de saúde	Sem criptografia ou apenas do lado do servidor
Política de privacidade	Clara, específica, fácil de ler	Linguagem vaga sobre "parceiros" e "terceiros"
Exclusão de dados	Fácil de excluir todos os seus dados permanentemente	Sem processo claro de exclusão
Compartilhamento com terceiros	Compartilhamento mínimo ou inexistente de dados com terceiros	Dados compartilhados com anunciantes ou corretores
Auditorias de segurança	Auditorias de segurança independentes regulares	Sem informações públicas sobre auditorias
Histórico de violações	Registro limpo ou transparente sobre incidentes passados	Histórico de violações com divulgação ruim
Localização dos dados	Servidores em jurisdições com leis de privacidade fortes	Sem informações sobre a localização dos dados

Como a Nutrola Aborda a Privacidade dos Dados

A Nutrola é construída em um modelo de assinatura a partir de €2,50 por mês, sem anúncios em todos os níveis de preços. Essa é uma diferença fundamental em relação a aplicativos suportados por anúncios, como o nível gratuito do MyFitnessPal. Quando não há anúncios, não há incentivo para coletar dados dos usuários para fins publicitários. Seu diário alimentar, registros de peso e dados nutricionais existem para atendê-lo, não para perfilá-lo para anunciantes.

A Nutrola não vende dados dos usuários para terceiros. A receita do aplicativo vem inteiramente de assinaturas, o que significa que o modelo de negócios está alinhado com a privacidade do usuário, em vez de se opor a ela. Quando uma empresa ganha dinheiro mantendo os usuários felizes e confiantes, tem todo o motivo para proteger seus dados. Quando uma empresa ganha dinheiro monetizando dados de usuários por meio de publicidade, os incentivos apontam na direção oposta.

Comparação: MyFitnessPal vs Nutrola em Privacidade e Recursos

Fator	MyFitnessPal	Nutrola
Histórico de violação de dados	Sim (150M contas, 2018)	Não
Nível gratuito suportado por anúncios	Sim (muitos anúncios)	Não (zero anúncios em todos os níveis)
Modelo de receita	Assinaturas + publicidade	Somente assinaturas
Preço	Gratuito (limitado) / US$ 79,99 por ano	A partir de €2,50 por mês
Nutrientes rastreados	~6 de forma confiável	100+
Banco de dados de alimentos	14M+ entradas crowdsourced	1.8M+ entradas verificadas
Registro de fotos por IA	Não	Sim
Registro de voz	Não	Sim
Leitura de código de barras	Somente premium	Sim (todos os usuários)
Apple Watch + Wear OS	Apenas Apple Watch básico	Ambos suportados
Importação de receitas	Sim	Sim (com detalhamento nutricional completo)
Idiomas suportados	20+	9

O Que Fazer Se Seus Dados Estiveram na Violação do MyFitnessPal?

Se você tinha uma conta no MyFitnessPal antes de março de 2018, seus dados provavelmente foram comprometidos. Aqui está o que você deve fazer se ainda não o fez:

1. Altere sua senha do MyFitnessPal se ainda não o fez desde a violação. Use uma senha forte e única.
2. Altere as senhas de qualquer outro serviço onde você usou a mesma combinação de e-mail e senha que sua conta do MyFitnessPal. Este é o passo mais importante para prevenir ataques de credential stuffing.
3. Ative a autenticação em duas etapas no MyFitnessPal e em todos os outros serviços que a suportam.
4. Use um gerenciador de senhas para gerar e armazenar senhas únicas para cada serviço. Isso garante que uma violação em um serviço não comprometa suas outras contas.
5. Verifique o haveibeenpwned.com para ver se seu endereço de e-mail apareceu na violação do MyFitnessPal ou em qualquer outra violação de dados conhecida.
6. Desconfie de e-mails não solicitados relacionados a fitness, dietas, suplementos ou aplicativos de saúde. Seu endereço de e-mail está nas mãos de atacantes que sabem que você está interessado em rastreamento nutricional.

Perguntas Frequentes

Quando o MyFitnessPal foi hackeado?

O MyFitnessPal foi hackeado em fevereiro de 2018. A violação foi descoberta em 25 de março de 2018 e divulgada publicamente em 29 de março de 2018. Aproximadamente 150 milhões de contas de usuários foram comprometidas, tornando-se uma das maiores violações de dados da história na época. O MyFitnessPal era propriedade da Under Armour durante a violação.

Quais dados foram roubados no hack do MyFitnessPal?

A violação expôs nomes de usuário, endereços de e-mail e senhas criptografadas de aproximadamente 150 milhões de contas. Algumas senhas foram criptografadas com bcrypt (um algoritmo forte), enquanto outras usaram SHA-1 (um algoritmo mais fraco). A Under Armour afirmou que informações de pagamento e dados de saúde detalhados (diários alimentares, registros de peso) não foram comprometidos.

O MyFitnessPal é seguro para usar em 2026?

O MyFitnessPal implementou melhorias de segurança após a violação de 2018, incluindo hashing de senhas mais forte e autenticação em duas etapas opcional. No entanto, o aplicativo agora é propriedade de uma empresa de private equity, depende de receita publicitária do nível gratuito (que incentiva a coleta de dados) e não publica resultados de auditorias de segurança independentes. Se você o considera "seguro" depende da sua tolerância ao risco pessoal e de quão sensíveis você considera seus dados nutricionais.

O MyFitnessPal foi hackeado mais de uma vez?

A violação de 2018 é a única violação de dados significativa confirmada publicamente que afetou o MyFitnessPal. No entanto, os dados comprometidos da violação de 2018 foram posteriormente vendidos em mercados da dark web e apareceram em coleções de dumps de credenciais que circularam por anos após o incidente original.

Como saber se meus dados do MyFitnessPal estavam na violação?

Se você tinha uma conta no MyFitnessPal antes de março de 2018, seus dados quase certamente foram afetados — a violação comprometeu aproximadamente 150 milhões das cerca de 150 milhões de contas que existiam na época. Você pode verificar no haveibeenpwned.com para confirmar se seu endereço de e-mail apareceu na violação. O MyFitnessPal também enviou notificações por e-mail para os usuários afetados e exigiu redefinições de senha.

Qual rastreador de calorias é o mais privado e seguro?

Procure aplicativos com modelos de negócios baseados em assinaturas e sem publicidade, pois esses têm menos incentivo para coletar e monetizar dados dos usuários. A Nutrola opera em um modelo de assinatura a partir de €2,50 por mês, sem anúncios em nenhum nível, o que significa que não há coleta de dados impulsionada por publicidade. O aplicativo não vende dados dos usuários para terceiros. Além da privacidade, a Nutrola oferece registro de alimentos com inteligência artificial (foto, voz, código de barras), rastreia mais de 100 nutrientes de um banco de dados verificado de 1,8 milhão de alimentos e suporta Apple Watch, Wear OS e nove idiomas.