Почему MyFitnessPal был взломан? Объяснение утечки данных на 150 миллионов аккаунтов

В феврале 2018 года злоумышленник получил доступ к системам MyFitnessPal и украл данные аккаунтов примерно 150 миллионов пользователей. Утечке подверглись имена пользователей, адреса электронной почты и захешированные пароли — все это оказалось в руках хакеров. На тот момент это была одна из десяти крупнейших утечек данных в истории. Компания обнаружила взлом только в марте 2018 года, что означало, что злоумышленники имели доступ к данным пользователей примерно месяц, прежде чем кто-то это заметил.

Если вы использовали MyFitnessPal до марта 2018 года, ваши данные почти наверняка стали частью этой утечки. И если вы все еще задаетесь вопросом, почему приложение для отслеживания калорий стало целью одного из крупнейших взломов, ответ открывает некоторые неприятные истины о том, как приложения для здоровья и фитнеса обрабатывают ваши данные.

В этой статье мы подробно объясним, что произошло, какие данные были раскрыты, что осталось в безопасности, безопасно ли сейчас использовать MyFitnessPal и почему конфиденциальность данных о здоровье должна быть решающим фактором при выборе приложения для питания.

Что произошло в утечке данных MyFitnessPal?

Вот хронология событий, как они развивались:

Взлом: февраль 2018 года

В конце февраля 2018 года несанкционированная сторона получила доступ к данным аккаунтов пользователей MyFitnessPal. Точный метод взлома так и не был полностью раскрыт общественности. Известно только, что злоумышленник смог извлечь огромный объем данных, содержащих информацию о аккаунтах примерно 150 миллионов пользователей.

На тот момент MyFitnessPal принадлежал компании Under Armour, которая приобрела приложение в 2015 году за 475 миллионов долларов. Under Armour несла ответственность за безопасность инфраструктуры MyFitnessPal.

Обнаружение: 25 марта 2018 года

Команда безопасности MyFitnessPal выявила утечку 25 марта 2018 года — примерно через четыре недели после того, как произошел взлом. Четырехнедельный промежуток между взломом и его обнаружением не является чем-то необычным для утечек данных такого масштаба, но это означает, что злоумышленник имел доступ к данным пользователей в течение нескольких недель без обнаружения.

Публичное раскрытие: 29 марта 2018 года

Under Armour публично объявила об утечке 29 марта 2018 года, всего через четыре дня после ее обнаружения. Компания уведомила пострадавших пользователей по электронной почте и через сообщения в приложении, потребовав сброса паролей для всех аккаунтов.

Последствия

Акции Under Armour упали примерно на 3,8% в дни после раскрытия информации. Утечка вызвала растущие опасения по поводу цифровой стратегии Under Armour в области фитнеса и затрат на поддержание огромной базы пользователей. Два года спустя Under Armour продаст MyFitnessPal компании Francisco Partners за 345 миллионов долларов — на 130 миллионов меньше, чем была первоначальная цена покупки.

Какие данные были раскрыты в результате взлома MyFitnessPal?

Важно понять, что именно было скомпрометировано — и что осталось в безопасности — для оценки рисков.

Данные, которые были скомпрометированы

• Имена пользователей. Названия аккаунтов, используемые для входа в MyFitnessPal.
• Адреса электронной почты. Электронные адреса, связанные с каждым аккаунтом.
• Захешированные пароли. Пароли не хранились в открытом виде. Они были захешированы с использованием bcrypt, мощного алгоритма хеширования. Однако некоторые пароли были захешированы с помощью SHA-1, более слабого алгоритма, который легче поддается взлому.

Данные, которые не были скомпрометированы (по данным Under Armour)

• Платежная информация. Under Armour заявила, что данные платежных карт не пострадали, так как они собирались и обрабатывались отдельно.
• Идентификаторы, выданные государством. Номера социального страхования, номера водительских удостоверений и аналогичные идентификаторы не хранились в MyFitnessPal и, следовательно, не были раскрыты.
• Подробные данные о здоровье. Under Armour заявила, что утечка затронула учетные данные аккаунтов, а не данные о пищевых привычках, записи о весе или информацию о питании, хранящуюся в приложении.

Почему это важно, даже если "только" электронные почты и пароли были раскрыты

Легко недооценить утечку, считая, что речь идет лишь о именах пользователей и паролях. Но реальное влияние такого рода утечки данных значительно:

• Атаки методом подбора учетных данных. Многие люди используют одни и те же пароли для разных сервисов. Злоумышленники, которые взломали захешированные пароли, могут использовать их для доступа к другим аккаунтам — электронной почте, банковским услугам, социальным сетям, интернет-магазинам — где использовалась та же комбинация электронной почты и пароля.
• Фишинговые кампании. С 150 миллионами подтвержденных адресов электронной почты, связанных с приложением для здоровья и фитнеса, злоумышленники получили целевой список для фишинговых писем, связанных со здоровьем, фитнесом, добавками и диетами. Эти письма могут быть очень убедительными, поскольку злоумышленник знал, что получатель использует приложение для отслеживания калорий.
• Данные, продаваемые в даркнете. Украденные данные MyFitnessPal появились на рынках даркнета. В 2019 году коллекция взломанных баз данных, включая данные MyFitnessPal, была предложена на продажу за примерно 20 000 долларов в криптовалюте.

Почему MyFitnessPal стал целью?

Приложение для отслеживания калорий может показаться необычной целью для хакеров по сравнению с банками или розничными торговцами. Но есть конкретные причины, по которым MyFitnessPal привлекал злоумышленников.

Масштаб пользовательской базы

С более чем 150 миллионами аккаунтов на тот момент MyFitnessPal имел одну из крупнейших баз пользователей среди потребительских приложений. Для злоумышленников, сосредоточенных на краже учетных данных, огромное количество комбинаций электронной почты и пароля делало его высокоценной целью, независимо от того, что именно делало приложение.

Данные о здоровье имеют уникальную ценность

Данные о здоровье и фитнесе становятся все более ценными в экономике данных. Информация о том, что люди едят, сколько они весят, их фитнес-цели и диетические привычки может использоваться для таргетированной рекламы, профилирования для страхования и социальной инженерии. Хотя Under Armour заявила, что данные о пищевых привычках не были скомпрометированы в 2018 году, само наличие огромного хранилища данных о здоровье делает платформу целью.

Безопасность не была приоритетом

Under Armour была компанией по производству спортивной одежды, а не технологической или охранной компанией. Приобретая MyFitnessPal в 2015 году, акцент делался на росте пользовательской базы и интеграции приложения в экосистему фитнеса Under Armour. Инвестиции в безопасность не были приоритетом.

Использование SHA-1 для некоторых паролей — это показательный момент. SHA-1 считался криптографически слабым на протяжении многих лет до утечки 2018 года. Лучшие практики требовали использования bcrypt или аналогичных мощных алгоритмов хеширования. Тот факт, что некоторые пароли MyFitnessPal все еще были захешированы с помощью SHA-1, говорит о том, что обновления безопасности не были приоритетом.

Улучшилась ли безопасность MyFitnessPal после утечки?

Это вопрос, на который текущие и потенциальные пользователи должны получить ответ. Краткий ответ: MyFitnessPal внесла улучшения, но история владения приложением и бизнес-модель вызывают постоянные вопросы.

Что изменилось после утечки

После утечки 2018 года MyFitnessPal внедрила несколько улучшений безопасности:

• Обязательный сброс паролей для всех пострадавших аккаунтов
• Усиленный мониторинг несанкционированного доступа
• Переход на более сильные алгоритмы хеширования для паролей
• Двухфакторная аутентификация была в конечном итоге добавлена как опция

Что не изменилось

Несмотря на эти улучшения, несколько структурных проблем остаются:

• Нет сквозного шифрования для данных о здоровье. MyFitnessPal хранит данные о пищевых привычках, записи о весе и информацию о питании на своих серверах. Эти данные не шифруются сквозным образом, что означает, что компания (и любой злоумышленник, получивший доступ к серверу) может их прочитать.
• Новый владелец с другими приоритетами. Francisco Partners, частная инвестиционная компания, которая приобрела MyFitnessPal в 2020 году, сосредоточена на генерации дохода. Инвестиции в безопасность конкурируют с другими приоритетами в этой модели.
• Сбор данных, основанный на рекламе. Бесплатная версия MyFitnessPal поддерживается рекламой. Приложения, финансируемые рекламой, по своей сути собирают больше данных пользователей для показа таргетированной рекламы. Большее количество собранных данных означает больше рисков в случае потенциальной утечки.
• Отсутствие публичных аудитов безопасности. MyFitnessPal не публикует результаты независимых аудитов безопасности. Пользователи должны доверять заявлениям компании о повышении безопасности без сторонней проверки.

Почему конфиденциальность данных о здоровье важна?

Если вы отслеживаете, что едите, сколько весите, ваши параметры тела, фитнес-цели и диетические привычки в приложении, вы создаете подробный профиль здоровья. Эти данные более чувствительны, чем многие люди осознают.

Данные о здоровье уникально личные

Ваш дневник питания раскрывает гораздо больше, чем просто количество калорий. Он показывает медицинские состояния (отслеживание пищи для управления диабетом или болезнью почек), психическое здоровье (переедание, ограничение, эмоциональное питание), репродуктивное состояние (изменения в питании во время беременности), религиозные практики (модели голодания), социоэкономическую информацию (выбор пищи отражает уровень дохода) и многое другое.

Это не те данные, которые вы хотите, чтобы были раскрыты в случае утечки, проданы брокерам данных или использованы для профилирования для страхования.

Конфиденциальность данных о здоровье — растущая юридическая проблема

Регулирование конфиденциальности данных о здоровье становится более строгим по всему миру. GDPR ЕС предоставляет сильную защиту для данных, связанных со здоровьем. В Соединенных Штатах HIPAA защищает медицинские записи, но не охватывает данные, добровольно введенные в потребительские приложения, такие как MyFitnessPal. Это создает пробел, в котором высокочувствительная информация о здоровье имеет меньше юридических защит, чем ваша медицинская карта.

Бизнес-модель имеет значение

Как компания зарабатывает деньги, напрямую влияет на то, как она обрабатывает ваши данные. Приложения, которые полагаются на доход от рекламы, имеют финансовый стимул собирать как можно больше пользовательских данных и делиться ими с рекламными партнерами. Приложения, которые полагаются на подписки, имеют финансовый стимул защищать данные пользователей, потому что их доход зависит от доверия пользователей, а не от монетизации данных.

Это различие критически важно при выборе приложения для здоровья.

Как оценить безопасность данных приложения для питания

Если утечка MyFitnessPal заставила вас дважды задуматься о том, где хранить свои данные о здоровье, вот на что стоит обратить внимание при оценке альтернатив:

Ключевые вопросы безопасности и конфиденциальности

Фактор	На что обратить внимание	Красный флаг
Бизнес-модель	На основе подписки, без рекламы	Бесплатная версия с поддержкой рекламы и обменом данными
Шифрование данных	Сквозное шифрование для данных о здоровье	Нет шифрования или только серверное
Политика конфиденциальности	Четкая, конкретная, легкая для чтения	Неясный язык о "партнерах" и "третьих лицах"
Удаление данных	Легкость удаления всех ваших данных навсегда	Нет четкого процесса удаления
Обмен данными с третьими сторонами	Минимальный или отсутствующий обмен данными с третьими сторонами	Данные передаются рекламодателям или брокерам
Аудиты безопасности	Регулярные независимые аудиты безопасности	Нет публичной информации об аудитах
История утечек	Чистая история или прозрачность в отношении прошлых инцидентов	История утечек с плохим раскрытием информации
Местоположение данных	Серверы в юрисдикциях с сильными законами о конфиденциальности	Нет информации о местоположении данных

Как Nutrola подходит к конфиденциальности данных

Nutrola основана на модели подписки, начиная с €2.50 в месяц, без рекламы на всех тарифах. Это принципиальное отличие от приложений, поддерживаемых рекламой, таких как бесплатная версия MyFitnessPal. Когда нет рекламы, нет стимула собирать пользовательские данные для рекламных целей. Ваш дневник питания, записи о весе и данные о питании существуют для вашего удобства, а не для профилирования вас для рекламодателей.

Nutrola не продает пользовательские данные третьим лицам. Доход приложения полностью поступает от подписок, что означает, что бизнес-модель согласована с конфиденциальностью пользователей, а не противоречит ей. Когда компания зарабатывает деньги, заботясь о пользователях и поддерживая доверие, у нее есть все основания защищать их данные. Когда компания зарабатывает деньги, монетизируя пользовательские данные через рекламу, стимулы направлены в противоположную сторону.

Сравнение: MyFitnessPal против Nutrola по конфиденциальности и функциям

Фактор	MyFitnessPal	Nutrola
История крупных утечек данных	Да (150 миллионов аккаунтов, 2018)	Нет
Бесплатная версия с поддержкой рекламы	Да (много рекламы)	Нет (ноль рекламы на всех тарифах)
Модель дохода	Подписки + реклама	Только подписки
Цена	Бесплатно (ограниченная версия) / $79.99 в год	От €2.50 в месяц
Отслеживаемые питательные вещества	~6 надежно	100+
База данных продуктов	14M+ краудсорсинговых записей	1.8M+ проверенных записей
AI-фото логирование	Нет	Да
Голосовое логирование	Нет	Да
Сканирование штрих-кодов	Только премиум	Да (для всех пользователей)
Apple Watch + Wear OS	Только базовая версия Apple Watch	Поддержка обеих платформ
Импорт рецептов	Да	Да (с полным разбором питательных веществ)
Поддерживаемые языки	20+	9

Что делать, если ваши данные были в утечке MyFitnessPal?

Если у вас был аккаунт MyFitnessPal до марта 2018 года, ваши данные, вероятно, были скомпрометированы. Вот что вам следует сделать, если вы еще этого не сделали:

1. Смените пароль MyFitnessPal, если вы не сделали этого с момента утечки. Используйте надежный, уникальный пароль.
2. Смените пароли на любых других сервисах, где вы использовали ту же комбинацию электронной почты и пароля, что и для вашего аккаунта MyFitnessPal. Это самый важный шаг для предотвращения атак методом подбора учетных данных.
3. Включите двухфакторную аутентификацию на MyFitnessPal и на всех других сервисах, которые поддерживают эту функцию.
4. Используйте менеджер паролей для генерации и хранения уникальных паролей для каждого сервиса. Это гарантирует, что утечка одного сервиса не скомпрометирует ваши другие аккаунты.
5. Проверьте haveibeenpwned.com, чтобы узнать, появился ли ваш адрес электронной почты в утечке MyFitnessPal или в любой другой известной утечке данных.
6. Будьте скептичны к нежелательным письмам, связанным с фитнесом, диетами, добавками или приложениями для здоровья. Ваш адрес электронной почты находится в руках злоумышленников, которые знают, что вы интересуетесь отслеживанием питания.

Часто задаваемые вопросы

Когда был взломан MyFitnessPal?

MyFitnessPal был взломан в феврале 2018 года. Утечка была обнаружена 25 марта 2018 года и публично раскрыта 29 марта 2018 года. Примерно 150 миллионов учетных записей пользователей были скомпрометированы, что сделало это одной из крупнейших утечек данных в истории на тот момент. MyFitnessPal принадлежал Under Armour во время утечки.

Какие данные были украдены в результате взлома MyFitnessPal?

Утечка раскрыла имена пользователей, адреса электронной почты и захешированные пароли примерно 150 миллионов аккаунтов. Некоторые пароли были захешированы с помощью bcrypt (сильный алгоритм), в то время как другие использовали SHA-1 (слабый алгоритм). Under Armour заявила, что платежная информация и подробные данные о здоровье (дневники питания, записи о весе) не были скомпрометированы.

Безопасен ли MyFitnessPal в 2026 году?

MyFitnessPal внедрил улучшения безопасности после утечки 2018 года, включая более сильное хеширование паролей и опциональную двухфакторную аутентификацию. Однако сейчас приложение принадлежит частной инвестиционной компании, полагается на доход от рекламы от бесплатной версии (что стимулирует сбор данных) и не публикует результаты независимых аудитов безопасности. Безопасность приложения зависит от вашей личной толерантности к рискам и от того, насколько чувствительными вы считаете свои данные о питании.

Был ли MyFitnessPal взломан более одного раза?

Утечка 2018 года является единственной публично подтвержденной крупной утечкой данных, затрагивающей MyFitnessPal. Однако скомпрометированные данные из утечки 2018 года впоследствии были проданы на рынках даркнета и появились в коллекциях утекших учетных данных, которые циркулировали в течение многих лет после первоначального инцидента.

Как узнать, были ли мои данные MyFitnessPal в утечке?

Если у вас был аккаунт MyFitnessPal до марта 2018 года, ваши данные почти наверняка были затронуты — утечка затронула примерно 150 миллионов из 150 миллионов аккаунтов, существовавших на тот момент. Вы можете проверить haveibeenpwned.com, чтобы подтвердить, появился ли ваш адрес электронной почты в утечке. MyFitnessPal также отправил уведомления по электронной почте пострадавшим пользователям и потребовал сброса паролей.

Какой трекер калорий является самым приватным и безопасным?

Ищите приложения с бизнес-моделями на основе подписки и без рекламы, так как у них меньше стимула собирать и монетизировать пользовательские данные. Nutrola работает по модели подписки, начиная с €2.50 в месяц, без рекламы на любом тарифе, что означает отсутствие сбора данных, основанного на рекламе. Приложение не продает пользовательские данные третьим лицам. Кроме конфиденциальности, Nutrola предлагает AI-логирование пищи (фото, голос, штрих-код), отслеживает более 100 питательных веществ из проверенной базы данных из 1.8 миллиона продуктов и поддерживает Apple Watch, Wear OS и девять языков.