MyFitnessPal Neden Hacklendi? 150 Milyon Hesap İhlali Açıklandı

Şubat 2018'de, birisi MyFitnessPal'ın sistemlerine girdi ve yaklaşık 150 milyon kullanıcının hesap verilerini çaldı. Kullanıcı adları, e-posta adresleri ve hashlenmiş şifreler — hepsi tehlikeye girdi. O dönemde, bu ihlal tarihin en büyük on veri ihlalinden biriydi. Şirket, ihlali Mart 2018'de fark etti; bu da demek oluyor ki, saldırganlar yaklaşık bir ay boyunca kullanıcı verilerine erişim sağladı.

Eğer Mart 2018'den önce MyFitnessPal kullandıysanız, verilerinizin büyük ihtimalle bu ihlalin bir parçası olduğunu bilmelisiniz. Eğer bir kalori takip uygulamasının neden bu kadar büyük bir hackin hedefi olduğunu merak ediyorsanız, bu durum sağlık ve fitness uygulamalarının verilerinizi nasıl yönettiğine dair bazı rahatsız edici gerçekleri ortaya çıkarıyor.

Bu makalede, tam olarak ne olduğunu, hangi verilerin ifşa edildiğini, hangilerinin edilmediğini, MyFitnessPal'ın bugün güvenli olup olmadığını ve sağlık verisi gizliliğinin hangi beslenme uygulamasına güvenmeniz gerektiğinde neden belirleyici bir faktör olması gerektiğini açıklıyoruz.

MyFitnessPal Veri İhlalinde Ne Oldu?

Olayların gelişim zaman çizelgesi şöyle:

İhlal: Şubat 2018

Şubat 2018'in sonlarında, yetkisiz bir taraf MyFitnessPal'ın kullanıcı hesap verilerine erişim sağladı. İhlalin tam yöntemi kamuya tam olarak açıklanmadı. Ancak bilinen, saldırganın yaklaşık 150 milyon kullanıcının hesap bilgilerini içeren dev bir veri setini çıkarmayı başardığıdır.

O dönemde MyFitnessPal, 2015'te 475 milyon dolara satın alınan Under Armour'a aitti. Under Armour, MyFitnessPal'ın altyapısının güvenliğinden sorumluydu.

Keşif: 25 Mart 2018

MyFitnessPal'ın güvenlik ekibi, ihlali 25 Mart 2018'de tespit etti — ihlalin gerçekleşmesinden yaklaşık dört hafta sonra. Bu ölçekli veri ihlalleri için ihlal ile tespit arasındaki dört haftalık bir boşluk alışılmadık değildir, ancak bu durum saldırganın kullanıcı verilerine haftalarca fark edilmeden erişim sağladığı anlamına gelir.

Kamuya Açıklama: 29 Mart 2018

Under Armour, ihlali 29 Mart 2018'de kamuya açıkladı; bu, keşiften sadece dört gün sonra gerçekleşti. Şirket, etkilenen kullanıcıları e-posta ve uygulama içi mesajlarla bilgilendirdi ve tüm hesaplar için şifre sıfırlamaları talep etti.

Sonrası

Under Armour'ın hisseleri, açıklamanın ardından yaklaşık %3.8 düştü. İhlal, Under Armour'ın dijital fitness stratejisi ve büyük bir kullanıcı veritabanını sürdürmenin maliyetleri hakkında artan endişelere katkıda bulundu. İki yıl sonra, Under Armour, MyFitnessPal'ı 345 milyon dolara Francisco Partners'a sattı — bu, orijinal satın alma fiyatından 130 milyon dolar daha azdı.

MyFitnessPal Hackinde Hangi Veriler İfşa Edildi?

Tam olarak hangi verilerin tehlikeye girdiğini ve hangilerinin girmediğini anlamak, riski değerlendirmek için önemlidir.

Tehlikeye Giren Veriler

• Kullanıcı Adları. MyFitnessPal'a giriş yapmak için kullanılan hesap adları.
• E-posta Adresleri. Her hesapla ilişkili e-posta adresleri.
• Hashlenmiş Şifreler. Şifreler düz metin olarak saklanmadı. Bcrypt adı verilen güçlü bir hashleme algoritması kullanılarak hashlenmişti. Ancak bazı şifreler, kırılmaya daha yatkın olan SHA-1 ile hashlenmişti.

Tehlikeye Girmeyen Veriler (Under Armour'a Göre)

• Ödeme Bilgileri. Under Armour, ödeme kartı verilerinin etkilenmediğini belirtti çünkü bu veriler ayrı olarak toplandı ve işlendi.
• Devlet Tarafından Verilen Kimlikler. Sosyal Güvenlik numaraları, sürücü belgesi numaraları ve benzeri kimlikler MyFitnessPal tarafından saklanmadığı için ifşa edilmedi.
• Detaylı Sağlık Verileri. Under Armour, ihlalin hesap kimlik bilgilerini içerdiğini, uygulama içinde saklanan gıda günlüğü verileri, kilo kayıtları veya beslenme bilgilerini içermediğini belirtti.

"Sadece" E-posta ve Şifreler İfşa Edilmiş Olması Neden Önemli?

İhlali "sadece" kullanıcı adları ve şifreler olarak geçiştirmek cazip gelebilir. Ancak bu tür bir veri ifşasının gerçek dünyadaki etkisi oldukça önemlidir:

• Kimlik Bilgisi Doldurma Saldırıları. Birçok kişi, birden fazla hizmette aynı şifreleri kullanır. Hashlenmiş şifreleri kıran saldırganlar, aynı e-posta ve şifre kombinasyonunun kullanıldığı diğer hesaplara erişim sağlayabilir — e-posta, bankacılık, sosyal medya, alışveriş gibi.
• Phishing Kampanyaları. 150 milyon e-posta adresinin sağlık ve fitness uygulamasıyla ilişkili olduğu düşünüldüğünde, saldırganlar sağlık, fitness, takviye ve diyetle ilgili phishing e-postaları için hedefli bir listeye sahip oldular. Bu e-postalar, saldırganın alıcının bir kalori takip uygulaması kullandığını bildiği için oldukça ikna edici olabilir.
• Verilerin Karanlık Ağda Satılması. Çalınan MyFitnessPal verileri karanlık ağ pazarlarında ortaya çıktı. 2019'da, MyFitnessPal verilerini içeren ihlal edilmiş veritabanları yaklaşık 20,000 dolar karşılığında kripto para birimiyle satılmak üzere sunuldu.

MyFitnessPal Neden Hedef Oldu?

Bir kalori takip uygulaması, bankalar veya perakendecilerle karşılaştırıldığında hackerlar için alışılmadık bir hedef gibi görünebilir. Ancak MyFitnessPal'ı saldırganlar için çekici kılan belirli nedenler vardır.

Kullanıcı Tabanının Büyüklüğü

O dönemde 150 milyonun üzerinde hesaba sahip olan MyFitnessPal, herhangi bir tüketici uygulamasının en büyük kullanıcı veritabanlarından birine sahipti. Kimlik bilgisi çalmaya odaklanan saldırganlar için, e-posta ve şifre kombinasyonlarının bu kadar çokluğu, uygulamanın ne yaptığına bakılmaksızın yüksek değerli bir hedef haline getiriyordu.

Sağlık Verilerinin Eşsiz Değeri

Sağlık ve fitness verileri, veri ekonomisinde giderek daha değerli hale geliyor. İnsanların ne yediği, ne kadar kilolu olduğu, fitness hedefleri ve diyet alışkanlıkları hakkında bilgi, hedefli reklamcılık, sigorta profilleme ve sosyal mühendislik için kullanılabilir. Under Armour, 2018 ihlalinde gıda günlüğü verilerinin ifşa edilmediğini belirtmiş olsa da, büyük bir sağlık veri deposunun varlığı platformu hedef haline getiriyor.

Güvenlik Öncelik Değildi

Under Armour, bir spor giyim şirketiydi; teknoloji veya güvenlik şirketi değildi. MyFitnessPal'ı 2015'te satın aldığında, odak noktası kullanıcı tabanını büyütmek ve uygulamayı Under Armour'ın fitness ekosistemine entegre etmekti. Güvenlik altyapısına yatırım yapmak öncelikli bir hedef değildi.

Bazı şifrelerin SHA-1 ile hashlenmiş olması dikkat çekici bir ayrıntıdır. SHA-1, 2018 ihlalinden yıllar önce kriptografik olarak zayıf olarak kabul ediliyordu. En iyi uygulamalar, bcrypt veya benzeri güçlü hashleme algoritmalarını kullanmayı öneriyordu. Bazı MyFitnessPal şifrelerinin hala SHA-1 ile hashlenmiş olması, güvenlik güncellemelerinin önceliklendirilmediğini gösteriyor.

MyFitnessPal'ın Güvenliği İhlal Sonrası Gelişti mi?

Bu, mevcut ve potansiyel kullanıcıların en çok merak ettiği sorudur. Kısa cevap: MyFitnessPal bazı iyileştirmeler yaptı, ancak uygulamanın sahiplik geçmişi ve iş modeli, devam eden soruları gündeme getiriyor.

İhlal Sonrası Ne Değişti?

2018 ihlalinin ardından MyFitnessPal, birkaç güvenlik iyileştirmesi gerçekleştirdi:

• Etkilenen hesaplar için zorunlu şifre sıfırlamaları
• Yetkisiz erişim için geliştirilmiş izleme
• Şifreler için daha güçlü hashleme algoritmalarına geçiş
• İki faktörlü kimlik doğrulama sonunda bir seçenek olarak eklendi

Değişmeyenler

Bu iyileştirmelere rağmen, bazı yapısal endişeler devam ediyor:

• Sağlık verileri için uçtan uca şifreleme yok. MyFitnessPal, gıda günlüğü verilerini, kilo kayıtlarını ve beslenme bilgilerini sunucularında saklıyor. Bu veriler uçtan uca şifrelenmediği için, şirket (ve sunucu erişimi sağlayan herhangi bir saldırgan) bu verilere erişebilir.
• Farklı önceliklere sahip yeni bir sahip. 2020'de MyFitnessPal'ı satın alan özel sermaye firması Francisco Partners, gelir elde etmeye odaklanıyor. Bu modelde güvenlik yatırımı, diğer önceliklerle rekabet ediyor.
• Reklam destekli veri toplama. MyFitnessPal'ın ücretsiz katmanı reklamlarla destekleniyor. Reklam destekli uygulamalar, hedefli reklamlar sunmak için daha fazla kullanıcı verisi toplama teşvikine sahiptir. Daha fazla veri toplama, daha büyük bir saldırı yüzeyi ve potansiyel bir ihlal durumunda daha fazla veri riski anlamına gelir.
• Kamuya açık güvenlik denetimleri yok. MyFitnessPal, bağımsız güvenlik denetimi sonuçlarını yayınlamıyor. Kullanıcılar, güvenlik iyileştirmeleri hakkında şirketin iddialarına üçüncü taraf doğrulaması olmadan güvenmek zorunda kalıyor.

Sağlık Verisi Gizliliği Neden Önemli?

Eğer ne yediğinizi, ne kadar kilolu olduğunuzu, vücut ölçümlerinizi, fitness hedeflerinizi ve diyet alışkanlıklarınızı bir uygulamada takip ediyorsanız, ayrıntılı bir sağlık profili oluşturuyorsunuz. Bu veriler, birçok insanın fark ettiğinden daha hassastır.

Sağlık Verileri Eşsiz Derecede Kişisel

Gıda günlüğünüz, sadece kalori sayılarından çok daha fazlasını açığa çıkarır. Tıbbi durumları (diyabet yönetimi veya böbrek hastalığı için gıda takibi), ruh sağlığı kalıplarını (aşırı yeme, kısıtlama, duygusal yeme), üreme durumunu (hamilelikle ilgili diyet değişiklikleri), dini uygulamaları (oruç kalıpları), sosyoekonomik bilgileri (gıda seçimleri gelir seviyesini yansıtır) ve daha fazlasını ortaya koyar.

Bu, bir ihlal sırasında açığa çıkmasını istemeyeceğiniz bir veridir; veri brokerlerine satılmasını veya sigorta profillemesi için kullanılmasını istemezsiniz.

Sağlık Verisi Gizliliği Artan Bir Hukuki Endişe

Sağlık verisi gizliliği ile ilgili düzenlemeler dünya genelinde sıkılaşıyor. AB'nin GDPR'si, sağlıkla ilgili veriler için güçlü korumalar sağlıyor. Amerika Birleşik Devletleri'nde HIPAA, tıbbi kayıtları korurken, MyFitnessPal gibi tüketici uygulamalarına gönüllü olarak girilen verileri kapsamaz. Bu, son derece hassas sağlık bilgilerinin, tıbbi kaydınızdan daha az hukuki korumaya sahip olduğu bir boşluk yaratıyor.

İş Modeli Önemli

Bir şirketin nasıl para kazandığı, verilerinizi nasıl yönettiğini doğrudan etkiler. Reklam gelirine dayanan uygulamalar, mümkün olduğunca fazla kullanıcı verisi toplama ve bunu reklam ortaklarıyla paylaşma teşvikine sahiptir. Aboneliklere dayanan uygulamalar, kullanıcı verilerini koruma teşvikine sahiptir çünkü gelirleri kullanıcı güvenine dayanır, veri monetizasyonuna değil.

Bu ayrım, bir sağlık uygulaması seçerken kritik öneme sahiptir.

Bir Beslenme Uygulamasının Veri Güvenliğini Nasıl Değerlendirebilirsiniz?

MyFitnessPal ihlali, sağlık verilerinizi nerede saklayacağınızı iki kez düşünmenize neden olduysa, alternatifleri değerlendirirken nelere dikkat etmelisiniz:

Anahtar Güvenlik ve Gizlilik Soruları

Faktör	Dikkat Edilmesi Gerekenler	Kırmızı Bayrak
İş modeli	Abonelik tabanlı, reklam yok	Veri paylaşımı olan reklam destekli ücretsiz katman
Veri şifreleme	Sağlık verileri için uçtan uca şifreleme	Şifreleme yok veya sadece sunucu tarafında
Gizlilik politikası	Açık, spesifik, okunması kolay	"Ortaklar" ve "üçüncü taraflar" hakkında belirsiz dil
Veri silme	Tüm verilerinizi kalıcı olarak silmek kolay	Açık bir silme süreci yok
Üçüncü taraf paylaşımı	Minimal veya hiç üçüncü taraf veri paylaşımı	Reklamverenler veya brokerlerle veri paylaşımı
Güvenlik denetimleri	Düzenli bağımsız güvenlik denetimleri	Kamuya açık denetim bilgisi yok
İhlal geçmişi	Temiz kayıt veya geçmiş olaylar hakkında şeffaflık	Kötü açıklama ile ihlal geçmişi
Veri konumu	Güçlü gizlilik yasalarına sahip yargı bölgelerinde sunucular	Veri konumu hakkında bilgi yok

Nutrola Veri Gizliliğine Nasıl Yaklaşıyor?

Nutrola, her fiyat katmanında sıfır reklam ile €2.50'dan başlayan bir abonelik modeli üzerine kurulmuştur. Bu, MyFitnessPal'ın ücretsiz katmanındaki reklam destekli uygulamalardan temel bir farktır. Reklam olmadığında, kullanıcı verilerini reklam amaçları için toplama teşviki yoktur. Gıda günlüğünüz, kilo kayıtlarınız ve beslenme verileriniz, sizi hizmet etmek için vardır, reklamverenler için profil oluşturmak için değil.

Nutrola, kullanıcı verilerini üçüncü taraflara satmaz. Uygulamanın geliri tamamen aboneliklerden gelir, bu da iş modelinin kullanıcı gizliliği ile uyumlu olduğu anlamına gelir. Bir şirket, kullanıcıları mutlu tutarak ve güvenlerini koruyarak para kazanıyorsa, verilerini korumak için her türlü nedeni vardır. Bir şirket, kullanıcı verilerini reklam yoluyla monetize ederek para kazanıyorsa, teşvikler tam tersi yöndedir.

Karşılaştırma: MyFitnessPal ile Nutrola Gizlilik ve Özellikler

Faktör	MyFitnessPal	Nutrola
Büyük veri ihlali geçmişi	Evet (150M hesap, 2018)	Hayır
Reklam destekli ücretsiz katman	Evet (yoğun reklam)	Hayır (tüm katmanlarda sıfır reklam)
Gelir modeli	Abonelikler + reklamcılık	Sadece abonelikler
Fiyat	Ücretsiz (sınırlı) / Yılda $79.99	Aylık €2.50'dan itibaren
Takip edilen besinler	~6 güvenilir	100+
Gıda veritabanı	14M+ topluluk kaynaklı kayıt	1.8M+ doğrulanmış kayıt
AI fotoğraf kaydı	Hayır	Evet
Sesli kayıt	Hayır	Evet
Barkod tarama	Sadece premium	Evet (tüm kullanıcılar)
Apple Watch + Wear OS	Temel Apple Watch	Her ikisi de destekleniyor
Tarif içe aktarma	Evet	Evet (tam besin analizi ile)
Desteklenen diller	20+	9

MyFitnessPal İhlalinde Verileriniz Varsa Ne Yapmalısınız?

Eğer Mart 2018'den önce bir MyFitnessPal hesabınız varsa, verilerinizin büyük ihtimalle tehlikeye girdiğini bilmelisiniz. Eğer henüz yapmadıysanız, aşağıdakileri yapmalısınız:

1. MyFitnessPal şifrenizi değiştirin eğer ihlalden bu yana değiştirmediyseniz. Güçlü ve benzersiz bir şifre kullanın.
2. Aynı e-posta ve şifre kombinasyonunu kullandığınız diğer hizmetlerin şifrelerini değiştirin. Bu, kimlik bilgisi doldurma saldırılarını önlemenin en önemli adımıdır.
3. MyFitnessPal ve destekleyen diğer hizmetlerde iki faktörlü kimlik doğrulamayı etkinleştirin.
4. Her hizmet için benzersiz şifreler oluşturmak ve saklamak için bir şifre yöneticisi kullanın. Bu, bir hizmetteki ihlalin diğer hesaplarınızı tehlikeye atmasını engeller.
5. haveibeenpwned.com'u kontrol edin e-posta adresinizin MyFitnessPal ihlalinde veya diğer bilinen veri ihlallerinde görünüp görünmediğini öğrenmek için.
6. Fitness, diyet, takviye veya sağlık uygulamalarıyla ilgili istenmeyen e-postalara şüpheyle yaklaşın. E-posta adresiniz, beslenme takibiyle ilgilendiğinizi bilen saldırganların elinde.

Sıkça Sorulan Sorular

MyFitnessPal ne zaman hacklendi?

MyFitnessPal, Şubat 2018'de hacklendi. İhlal, 25 Mart 2018'de keşfedildi ve 29 Mart 2018'de kamuya açıklandı. Yaklaşık 150 milyon kullanıcı hesabı tehlikeye girdi, bu da onu o dönemde tarihin en büyük veri ihlallerinden biri haline getirdi. MyFitnessPal, ihlal sırasında Under Armour'a aitti.

MyFitnessPal hackinde hangi veriler çalındı?

İhlal, yaklaşık 150 milyon hesabın kullanıcı adlarını, e-posta adreslerini ve hashlenmiş şifrelerini ifşa etti. Bazı şifreler bcrypt (güçlü bir algoritma) ile hashlenirken, diğerleri SHA-1 (daha zayıf bir algoritma) ile hashlenmiştir. Under Armour, ödeme bilgileri ve detaylı sağlık verilerinin (gıda günlüğü, kilo kayıtları) etkilenmediğini belirtti.

MyFitnessPal 2026'da kullanmak güvenli mi?

MyFitnessPal, 2018 ihlalinden sonra güvenlik iyileştirmeleri gerçekleştirdi, bunlar arasında daha güçlü şifre hashleme ve isteğe bağlı iki faktörlü kimlik doğrulama bulunmaktadır. Ancak uygulama şimdi bir özel sermaye firması tarafından yönetiliyor, ücretsiz katmandan reklam gelirine dayanıyor (bu da veri toplama teşvikine neden oluyor) ve bağımsız güvenlik denetimi sonuçlarını yayınlamıyor. "Güvenli" olup olmadığı, kişisel risk toleransınıza ve beslenme verilerinizin ne kadar hassas olduğuna bağlıdır.

MyFitnessPal daha önce hacklendi mi?

2018 ihlali, MyFitnessPal'ı etkileyen tek büyük veri ihlali olarak kamuya açıklanmıştır. Ancak, 2018 ihlalinden çalınan veriler daha sonra karanlık ağ pazarlarında satıldı ve orijinal olaydan yıllar sonra dolaşan kimlik bilgisi döküm koleksiyonlarında yer aldı.

MyFitnessPal verilerimin ihlalde olup olmadığını nasıl anlarım?

Eğer Mart 2018'den önce bir MyFitnessPal hesabınız varsa, verilerinizin büyük ihtimalle etkilendiğini bilmelisiniz — ihlal, o dönemde mevcut olan yaklaşık 150 milyon hesabın yaklaşık 150 milyonunu tehlikeye attı. E-posta adresinizin ihlalde görünüp görünmediğini doğrulamak için haveibeenpwned.com'u kontrol edebilirsiniz. MyFitnessPal ayrıca etkilenen kullanıcılara e-posta bildirimleri gönderdi ve şifre sıfırlamaları talep etti.

Hangi kalori takip uygulaması en özel ve güvenli?

Rekabetçi bir iş modeli ve reklam içermeyen uygulamalar arayın; çünkü bunlar kullanıcı verilerini toplama ve monetizasyon konusunda daha az teşvike sahiptir. Nutrola, her katmanında sıfır reklam ile aylık €2.50'dan başlayan bir abonelik modeli ile çalışmaktadır; bu, reklam destekli veri toplama anlamına gelmez. Uygulama, kullanıcı verilerini üçüncü taraflara satmaz. Gizliliğin ötesinde, Nutrola AI destekli gıda kaydı (fotoğraf, ses, barkod), 1.8 milyon gıda maddesinden 100'den fazla besin öğesini takip eder ve Apple Watch, Wear OS ve dokuz dili destekler.