Varför blev MyFitnessPal hackat? Förklaringen till dataintrånget med 150 miljoner konton

I februari 2018 bröt sig någon in i MyFitnessPals system och stal kontodata för cirka 150 miljoner användare. Användarnamn, e-postadresser och hashade lösenord – allt blev komprometterat. Vid den tidpunkten var det ett av de tio största dataintrången i historien. Företaget upptäckte inte intrånget förrän i mars 2018, vilket innebar att angriparna hade tillgång till användardata i ungefär en månad innan någon märkte något.

Om du använde MyFitnessPal före mars 2018 var din data nästan säkert en del av detta intrång. Och om du fortfarande undrar varför en kaloritracker-app blev målet för ett av de största hacken som någonsin registrerats, avslöjar svaret några obekväma sanningar om hur hälsodata och träningsappar hanterar din information.

Den här artikeln förklarar exakt vad som hände, vilken data som exponerades, vad som inte gjorde det, om MyFitnessPal är säkert att använda idag och varför integriteten kring hälsodata bör vara en avgörande faktor när du väljer vilken nutrition-app du litar på.

Vad hände i MyFitnessPal-dataintrånget?

Här är tidslinjen för händelserna som utspelade sig:

Intrånget: Februari 2018

I slutet av februari 2018 fick en obehörig part tillgång till MyFitnessPals användarkontodata. Den exakta metoden för intrånget offentliggjordes aldrig helt. Vad som är känt är att angriparen kunde extrahera en massiv datamängd som innehöll kontoinformation för cirka 150 miljoner användare.

Vid den tidpunkten ägdes MyFitnessPal av Under Armour, som hade förvärvat appen 2015 för 475 miljoner dollar. Under Armour var ansvarigt för säkerheten i MyFitnessPals infrastruktur.

Upptäckten: 25 mars 2018

MyFitnessPals säkerhetsteam identifierade intrånget den 25 mars 2018 – ungefär fyra veckor efter att det inträffade. En fyra veckor lång tidslucka mellan intrång och upptäckte är inte ovanlig för dataintrång av denna storlek, men det innebär att angriparen hade veckor av oregistrerad tillgång till användardata.

Offentlig avslöjande: 29 mars 2018

Under Armour offentliggjorde intrånget den 29 mars 2018, bara fyra dagar efter att det upptäcktes. Företaget meddelade berörda användare via e-post och in-app-meddelanden och krävde att alla konton skulle återställa sina lösenord.

Efterdyningarna

Under Armours aktier föll med cirka 3,8 % dagarna efter avslöjandet. Intrånget bidrog till växande oro kring Under Armours digitala fitnessstrategi och kostnaderna för att upprätthålla en stor användardatabas. Två år senare skulle Under Armour sälja MyFitnessPal till Francisco Partners för 345 miljoner dollar – 130 miljoner mindre än det ursprungliga inköpspriset.

Vilken data exponerades i MyFitnessPal-hacket?

Att förstå exakt vad som blev komprometterat – och vad som inte gjorde det – är viktigt för att bedöma risken.

Data som blev komprometterad

• Användarnamn. Kontonamnen som användes för att logga in på MyFitnessPal.
• E-postadresser. E-postadresserna kopplade till varje konto.
• Hashade lösenord. Lösenorden lagrades inte i klartext. De var hashade med bcrypt, en stark hash-algoritm. Vissa lösenord var dock hashade med SHA-1, en svagare algoritm som är mer sårbar för knäckning.

Data som inte blev komprometterad (enligt Under Armour)

• Betalningsinformation. Under Armour uppgav att betalningskortdata inte påverkades eftersom det samlades in och behandlades separat.
• Statligt utfärdade identifierare. Personnummer, körkortnummer och liknande identifierare lagrades inte av MyFitnessPal och blev därför inte exponerade.
• Detaljerad hälsodata. Under Armour uppgav att intrånget involverade kontoinformation, inte matdagboksdata, viktloggar eller näringsinformation som lagrades i appen.

Varför detta är viktigt även om "bara" e-postadresser och lösenord exponerades

Det är frestande att avfärda intrånget som "bara" användarnamn och lösenord. Men den verkliga påverkan av denna typ av dataläckage är betydande:

• Credential stuffing-attacker. Många personer återanvänder lösenord över flera tjänster. Angripare som knäckte de hashade lösenorden kan använda dem för att få tillgång till andra konton – e-post, bank, sociala medier, shopping – där samma e-post- och lösenordskombination användes.
• Phishing-kampanjer. Med 150 miljoner e-postadresser kopplade till en hälsodata- och träningsapp hade angriparna en riktad lista för phishing-e-post relaterade till hälsa, träning, kosttillskott och dieter. Dessa e-postmeddelanden kunde vara mycket övertygande eftersom angriparen visste att mottagaren använde en kaloritracker-app.
• Data såld på dark web. Den stulna MyFitnessPal-datan dök upp på dark web-marknader. År 2019 erbjöds en samling av hackade databaser, inklusive MyFitnessPal-data, till försäljning för cirka 20 000 dollar i kryptovaluta.

Varför var MyFitnessPal ett mål?

En kaloritracker-app kan verka som ett ovanligt mål för hackare jämfört med banker eller detaljhandlare. Men det finns specifika skäl till att MyFitnessPal var attraktivt för angripare.

Skalan av användarbasen

Med över 150 miljoner konton vid den tiden hade MyFitnessPal en av de största användardatabaserna av alla konsumentappar. För angripare som fokuserade på stöld av autentiseringsuppgifter gjorde den stora volymen av e-post- och lösenordskombinationer det till ett högvärdigt mål oavsett vad appen i sig gjorde.

Hälsodata har unikt värde

Hälsodata och träningsdata blir allt mer värdefulla i datakonomin. Information om vad människor äter, hur mycket de väger, deras träningsmål och deras kostvanor kan användas för riktad reklam, försäkringsprofilering och social ingenjörskonst. Även om Under Armour uppgav att matdagboksdata inte blev komprometterad i intrånget 2018, gör blotta existensen av en massiv hälsodata-repository plattformen till ett mål.

Säkerhet var inte prioriterat

Under Armour var ett sportklädesföretag, inte ett teknik- eller säkerhetsföretag. När de förvärvade MyFitnessPal 2015 var fokus på att växa användarbasen och integrera appen med Under Armours fitness-ekosystem. Investeringar i säkerhetsinfrastruktur var inte den drivande prioriteten.

Användningen av SHA-1-hashing för vissa lösenord är en talande detalj. SHA-1 hade ansetts kryptografiskt svag i flera år innan intrånget 2018. Bästa praxis krävde bcrypt eller liknande starka hash-algoritmer. Det faktum att vissa MyFitnessPal-lösenord fortfarande var hashade med SHA-1 tyder på att säkerhetsuppgraderingar inte prioriterades.

Har MyFitnessPals säkerhet förbättrats sedan intrånget?

Detta är frågan som nuvarande och potentiella användare mest behöver svar på. Det korta svaret: MyFitnessPal har gjort förbättringar, men appens ägarhistorik och affärsmodell väcker fortsatt frågor.

Vad har förändrats efter intrånget

Efter intrånget 2018 implementerade MyFitnessPal flera säkerhetsförbättringar:

• Obligatoriska lösenordsåterställningar för alla berörda konton
• Förbättrad övervakning för obehörig åtkomst
• Övergång till starkare hash-algoritmer för lösenord
• Tvåfaktorsautentisering lades så småningom till som ett alternativ

Vad har inte förändrats

Trots dessa förbättringar kvarstår flera strukturella bekymmer:

• Ingen end-to-end-kryptering för hälsodata. MyFitnessPal lagrar matdagboksdata, viktloggar och näringsinformation på sina servrar. Denna data är inte end-to-end-krypterad, vilket innebär att företaget (och alla angripare som får serveråtkomst) kan läsa den.
• En ny ägare med andra prioriteringar. Francisco Partners, det riskkapitalbolag som förvärvade MyFitnessPal 2020, fokuserar på intäktsgenerering. Säkerhetsinvesteringar konkurrerar med andra prioriteringar i denna modell.
• Annonsdriven datainsamling. Den kostnadsfria nivån av MyFitnessPal stöds av annonser. Annonsstödda appar samlar i grunden in mer användardata för att kunna visa riktade annonser. Mer datainsamling innebär en större attackyta och mer data i riskzonen vid ett potentiellt intrång.
• Inga offentliga säkerhetsrevisioner. MyFitnessPal publicerar inte resultat från oberoende säkerhetsrevisioner. Användare måste lita på företagets påståenden om säkerhetsförbättringar utan tredjepartsverifiering.

Varför är integriteten kring hälsodata viktig?

Om du spårar vad du äter, hur mycket du väger, dina kroppsmått, dina träningsmål och dina kostvanor i en app, skapar du en detaljerad hälsoprofil. Denna data är mer känslig än många människor inser.

Hälsodata är unikt personlig

Din matdagbok avslöjar mycket mer än bara kaloriantal. Den avslöjar medicinska tillstånd (spårning av mat för diabeteshantering eller njursjukdom), mönster i mental hälsa (hetsätning, restriktion, känslomässig ätning), reproduktiv status (kostförändringar relaterade till graviditet), religiösa praktiker (fastemönster), socioekonomisk information (matval återspeglar inkomstnivå) och mer.

Detta är inte data du vill ha exponerad i ett intrång, såld till datamäklare eller använd för försäkringsprofilering.

Integritet kring hälsodata är en växande juridisk fråga

Regleringar kring integritet för hälsodata blir allt strängare globalt. EU:s GDPR ger starkt skydd för hälsorelaterad data. I USA skyddar HIPAA medicinska journaler men omfattar inte data som frivilligt matas in i konsumentappar som MyFitnessPal. Detta skapar en lucka där mycket känslig hälsoinformation har färre juridiska skydd än din medicinska journal.

Affärsmodellen spelar roll

Hur ett företag tjänar pengar påverkar direkt hur det hanterar din data. Appar som förlitar sig på annonsintäkter har ett ekonomiskt incitament att samla in så mycket användardata som möjligt och dela den med annonsörer. Appar som förlitar sig på prenumerationer har ett ekonomiskt incitament att skydda användardata eftersom deras intäkter kommer från användarnas förtroende, inte datamonetisering.

Denna distinktion är avgörande när du väljer en hälsodata-app.

Hur utvärderar man dataskyddet i en nutrition-app?

Om MyFitnessPal-intrånget fick dig att tänka efter en extra gång om var du lagrar din hälsodata, här är vad du ska leta efter när du utvärderar alternativ:

Viktiga frågor om säkerhet och integritet

Faktor	Vad du ska leta efter	Varningssignal
Affärsmodell	Prenumerationsbaserad, inga annonser	Annonsstödd gratisnivå med datadelning
Datakryptering	End-to-end-kryptering för hälsodata	Ingen kryptering eller endast serverbaserad
Integritetspolicy	Tydlig, specifik, lättläst	Vaga formuleringar om "partners" och "tredje parter"
Databorttagning	Lätt att permanent ta bort all din data	Ingen tydlig borttagningsprocess
Tredjepartsdelning	Minimal eller ingen delning av data med tredje part	Data delas med annonsörer eller mäklare
Säkerhetsrevisioner	Regelbundna oberoende säkerhetsrevisioner	Ingen offentlig revisionsinformation
Intrångshistorik	Ren historik eller transparent om tidigare incidenter	Historik av intrång med dålig avslöjande
Dataläge	Servrar i jurisdiktioner med starka integritetslagar	Ingen information om dataläge

Hur Nutrola närmar sig dataskydd

Nutrola bygger på en prenumerationsmodell som börjar på €2.50 per månad utan annonser på alla prissättningsnivåer. Detta är en grundläggande skillnad från annonsstödda appar som MyFitnessPals gratisnivå. När det inte finns några annonser finns det inget incitament att samla in användardata för reklamsyften. Din matdagbok, viktloggar och näringsdata finns för att tjäna dig, inte för att profilera dig för annonsörer.

Nutrola säljer inte användardata till tredje parter. Appens intäkter kommer helt från prenumerationer, vilket innebär att affärsmodellen är i linje med användarens integritet snarare än emot den. När ett företag tjänar pengar på att hålla användarna nöjda och trygga har det alla skäl att skydda deras data. När ett företag tjänar pengar på att monetisera användardata genom annonsering pekar incitamenten i motsatt riktning.

Jämförelse: MyFitnessPal vs Nutrola om integritet och funktioner

Faktor	MyFitnessPal	Nutrola
Historik av stora dataintrång	Ja (150M konton, 2018)	Nej
Annonsstödd gratisnivå	Ja (mycket annonser)	Nej (inga annonser på alla nivåer)
Intäktsmodell	Prenumerationer + annonser	Endast prenumerationer
Pris	Gratis (begränsad) / $79.99 per år	Från €2.50 per månad
Näringsämnen som spåras	~6 pålitligt	100+
Matdatabas	14M+ crowdsourcade poster	1.8M+ verifierade poster
AI-fotoinloggning	Nej	Ja
Röstinloggning	Nej	Ja
Streckkodsskanning	Endast premium	Ja (alla användare)
Apple Watch + Wear OS	Grundläggande Apple Watch endast	Båda stöds
Receptimport	Ja	Ja (med full näringsanalys)
Stödda språk	20+	9

Vad ska du göra om din data var med i MyFitnessPal-intrånget?

Om du hade ett MyFitnessPal-konto före mars 2018 var din data troligtvis komprometterad. Här är vad du bör göra om du inte redan har gjort det:

1. Ändra ditt MyFitnessPal-lösenord om du inte har gjort det sedan intrånget. Använd ett starkt, unikt lösenord.
2. Ändra lösenord på alla andra tjänster där du använde samma e-post- och lösenordskombination som ditt MyFitnessPal-konto. Detta är det viktigaste steget för att förhindra credential stuffing-attacker.
3. Aktivera tvåfaktorsautentisering på MyFitnessPal och varje annan tjänst som stöder det.
4. Använd en lösenordshanterare för att generera och lagra unika lösenord för varje tjänst. Detta säkerställer att ett intrång i en tjänst inte komprometterar dina andra konton.
5. Kontrollera haveibeenpwned.com för att se om din e-postadress förekom i MyFitnessPal-intrånget eller något annat känt dataintrång.
6. Var skeptisk mot oönskade e-postmeddelanden relaterade till träning, dieter, kosttillskott eller hälsoppar. Din e-postadress är i händerna på angripare som vet att du är intresserad av kostspårning.

Vanliga frågor

När blev MyFitnessPal hackat?

MyFitnessPal blev hackat i februari 2018. Intrånget upptäcktes den 25 mars 2018 och offentliggjordes den 29 mars 2018. Cirka 150 miljoner användarkonton blev komprometterade, vilket gjorde det till ett av de största dataintrången i historien vid den tiden. MyFitnessPal ägdes av Under Armour under intrånget.

Vilken data stals i MyFitnessPal-hacket?

Intrånget exponerade användarnamn, e-postadresser och hashade lösenord för cirka 150 miljoner konton. Vissa lösenord var hashade med bcrypt (en stark algoritm) medan andra använde SHA-1 (en svagare algoritm). Under Armour uppgav att betalningsinformation och detaljerad hälsodata (matdagböcker, viktloggar) inte blev komprometterade.

Är MyFitnessPal säkert att använda 2026?

MyFitnessPal har implementerat säkerhetsförbättringar efter intrånget 2018, inklusive starkare lösenordshashning och valfri tvåfaktorsautentisering. Dock ägs appen nu av ett riskkapitalbolag, förlitar sig på annonsintäkter från gratisnivån (vilket incitamenterar datainsamling) och publicerar inte oberoende säkerhetsrevisionsresultat. Huruvida du anser att det är "säkert" beror på din personliga risktolerans och hur känslig du anser att din näringsdata är.

Har MyFitnessPal blivit hackat mer än en gång?

Intrånget 2018 är det enda offentligt bekräftade stora dataintrånget som påverkat MyFitnessPal. Den komprometterade datan från intrånget 2018 såldes dock senare på dark web-marknader och dök upp i samlingar av läckta uppgifter som cirkulerade i flera år efter den ursprungliga incidenten.

Hur vet jag om min MyFitnessPal-data var med i intrånget?

Om du hade ett MyFitnessPal-konto före mars 2018 var din data nästan säkert påverkad – intrånget komprometterade ungefär 150 miljoner av de cirka 150 miljoner konton som fanns vid den tiden. Du kan kontrollera haveibeenpwned.com för att bekräfta om din e-postadress förekom i intrånget. MyFitnessPal skickade också e-postmeddelanden till berörda användare och krävde lösenordsåterställningar.

Vilken kaloritracker är mest privat och säker?

Sök efter appar med prenumerationsbaserade affärsmodeller och inga annonser, eftersom dessa har mindre incitament att samla in och monetisera användardata. Nutrola fungerar på en prenumerationsmodell som börjar på €2.50 per månad utan annonser på någon nivå, vilket innebär att det inte finns någon annonsdriven datainsamling. Appen säljer inte användardata till tredje parter. Utöver integritet erbjuder Nutrola AI-driven matloggning (foto, röst, streckkod), spårar över 100 näringsämnen från en verifierad databas med 1.8 miljoner livsmedel och stöder Apple Watch, Wear OS och nio språk.