MyFitnessPal在数据泄露后是否安全使用?
2018年MyFitnessPal数据泄露事件曝光了1.5亿个账户。多年后,MFP是否安全使用?这里是实际发生的变化、仍然存在的风险以及如何保护您的健康数据。
直接的答案是:MyFitnessPal现在比2018年更安全,但仍然存在显著的隐私问题。 2018年的数据泄露事件曝光了1.5亿个用户账户,成为互联网历史上最大的泄露事件之一。此后,MFP更换了所有权,更新了安全基础设施,并改善了身份验证选项。然而,该应用仍然为广告目的收集大量用户数据,对于一个存储您健康信息的应用——如饮食、体重和健康目标——其隐私模式值得关注。
以下是对发生的事情、变化以及在2026年之前信任MFP处理您的健康数据时应考虑的事项的诚实审视。
MyFitnessPal数据泄露究竟发生了什么?
2018年3月,Under Armour(当时拥有MyFitnessPal)披露在2018年2月有未经授权的第三方访问了MFP的用户数据。此次泄露影响了大约1.5亿个用户账户,使其成为记录在案的十大最大数据泄露事件之一。
泄露了哪些数据?
泄露的数据包括:
- 用户名 — 每个账户的显示名称
- 电子邮件地址 — 泄露了1.5亿个电子邮件地址
- 哈希密码 — 密码经过哈希处理,但使用了bcrypt和SHA-1的混合。SHA-1哈希的密码相对容易破解
- IP地址 — 从登录记录中获取的用户位置信息
据报道,没有泄露的数据包括:
- 支付卡数据(由单独的系统处理)
- 社会安全号码或政府身份证(未收集)
- 详细的饮食日记数据(尽管这点不太确定)
SHA-1问题
一个许多人忽视的关键细节是:虽然Under Armour表示密码经过哈希处理,但部分使用SHA-1哈希,而不是更安全的bcrypt。SHA-1被认为在密码学上较弱,现代硬件可以轻易进行暴力破解。这意味着数百万用户的密码实际上被攻击者有效地恢复,而不仅仅是哈希版本。
泄露的数据最终出现在暗网市场上。2019年,完整的数据集作为更大泄露数据库的一部分被出售。
自泄露以来发生了什么变化?
自2018年以来,发生了几项重大变化。
所有权变更
2020年,Under Armour以大约3.45亿美元的价格将MyFitnessPal出售给了私募股权公司Francisco Partners——这比Under Armour在2015年支付的4.75亿美元损失了不少。新所有权带来了新的管理层,显然也带来了新的安全优先事项。
基础设施更新
自泄露以来,MFP更新了其安全基础设施。具体改进包括:
- 强制密码重置 — 所有用户在泄露后都被要求更改密码
- 改进的哈希 — 密码现在使用现代哈希算法存储
- 双因素认证 — MFP增加了可选的2FA支持
- 更新的加密 — 传输和静态数据使用当前的加密标准
法律和解
Under Armour就泄露事件解决了一起集体诉讼。和解包括对受影响用户的经济补偿和对改善安全实践的承诺。美国证券交易委员会(SEC)也对泄露披露的时机进行了调查。
2026年仍存的隐私问题是什么?
安全性改善并不等于隐私改善。这是两个不同的问题,而MFP在隐私方面仍然引发担忧。
广泛的数据收集用于广告
MFP的免费版是广告支持的,广告模式需要收集和分享用户数据给广告网络和合作伙伴。MFP收集的数据包括:
- 您吃的所有东西 — 您的完整饮食日记、用餐时间和饮食模式
- 您的身体指标 — 体重、身高、身体测量、目标体重
- 您的健康目标 — 减肥、增肌、维持目标
- 您的运动数据 — 锻炼、活动水平、健身集成
- 您的设备数据 — 设备类型、操作系统、位置信息、使用模式
- 您的行为数据 — 您使用的功能、何时打开应用、花费的时间
这些数据创建了一个极其详细的健康档案。当与广告合作伙伴的数据结合时,它能够实现高度针对性的广告投放——这意味着您的健康信息与您无法控制的数据实践的第三方公司共享。
健康数据的独特敏感性
健康数据在HIPAA和GDPR等框架中受到特殊法律保护是有原因的。您的营养和身体成分数据揭示了:
- 医疗状况(通过饮食限制跟踪)
- 心理健康指标(饮食模式与情绪障碍相关)
- 怀孕(饮食变化是强烈信号)
- 运动状态和身体能力
- 社会经济指标(饮食选择与收入相关)
当这些数据用于广告时,它可能以用户从未预料到的方式被使用。一个广告网络知道您正在跟踪1200卡路里的饮食、记录产前维生素或限制钠含量,这向广告商透露了超出简单饮食偏好的生活信息。
广告资助的健康应用悖论
任何依赖广告收入的健康应用都有根本性的紧张关系。该应用需要您频繁使用(以展示更多广告),需要您的数据详细(以有效定位广告),并需要与第三方共享这些数据(以履行广告合同)。您的健康数据变成了产品,而不是受保护的资产。
这并不意味着MFP在做任何非法的事情。它意味着商业模式创造了与您的隐私利益不一致的激励,尤其是当涉及到健康相关的数据时。
MyFitnessPal在隐私方面的比较如何?
MyFitnessPal隐私实践
- 广告支持的免费版需要与广告网络共享大量数据
- 可选的高级版(19.99美元/月)去除广告,但隐私政策仍允许数据收集
- 数据与Francisco Partners投资组合公司和合作伙伴共享
- 互联网历史上最大的泄露事件之一的历史
- 提供双因素认证,但不是强制的
注重隐私的替代方案
并非所有的营养追踪器都使用相同的数据模型。那些从一开始就收取订阅费用的应用通常收集的数据较少,因为它们不需要通过广告来盈利。
健康应用隐私比较
| 隐私因素 | MFP 免费版 | MFP 高级版 | Nutrola | Cronometer |
|---|---|---|---|---|
| 广告追踪 | 是 | 减少 | 无 | 一些(免费) |
| 第三方数据共享 | 广泛 | 中等 | 最少 | 中等 |
| 健康数据用于广告 | 是 | 有限 | 否 | 有限 |
| 双因素认证 | 可选 | 可选 | 是 | 可选 |
| 数据泄露历史 | 是(1.5亿) | 是(1.5亿) | 无 | 无 |
| 无广告模式 | 否 | 是 | 是(所有层级) | 仅付费层级 |
| 符合GDPR | 是 | 是 | 是 | 是 |
| 数据导出可用 | 是 | 是 | 是 | 是 |
| 根据请求删除数据 | 是 | 是 | 是 | 是 |
如果您使用MyFitnessPal,如何保护自己
如果您选择继续使用MFP,以下步骤将降低您的风险。
立即的安全步骤
- 启用双因素认证 — 这是防止未经授权访问账户的最有效保护措施
- 使用独特密码 — 永远不要在其他服务上重复使用您的MFP密码。使用密码管理器生成强大且独特的密码
- 检查您的电子邮件是否在泄露中 — 访问haveibeenpwned.com查看您的电子邮件是否在泄露数据集中
- 审查连接的应用 — 撤销对您不再使用的与MFP账户连接的健身或健康应用的访问权限
隐私步骤
- 审查您的隐私设置 — MFP在设置中埋藏了隐私控制。将您的日记设置为私密,尽可能限制数据共享
- 考虑您记录的内容 — 注意您输入MFP的所有内容都会成为您的数据档案的一部分
- 如果继续使用,请考虑高级版 — 付费版至少去除了基于广告的追踪,尽管隐私政策仍允许数据收集
- 阅读当前隐私政策 — 了解MFP具体收集了什么数据以及与谁共享
您是否应该切换到注重隐私的替代方案?
如果隐私对您来说是真正的关注——而在健康数据方面,它应该是——最简单的解决方案是使用一个不依赖于您数据的商业模式的应用。
Nutrola:每个层级均无广告
Nutrola采用简单的订阅模式:提供所有功能的免费试用,之后每月€2.50。所有层级均无广告,这意味着没有广告基础设施在收集和共享您的数据。商业模式很简单——您为应用付费,应用为您服务,而不是为广告商服务。
除了隐私优势,Nutrola还提供AI照片和语音记录、条形码扫描、一个超过180万条营养师验证的食品数据库,跟踪100多种营养素,支持Apple Watch和Wear OS,从任何URL导入食谱,并提供15种语言的服务。拥有超过200万用户和4.9星的评分,它提供的功能超过MFP,价格却低得多——而且没有隐私的妥协。
当价格是您的数据
这个比较值得明确说明。MFP的免费版在财务上不收取任何费用,但通过广告收集和变现您的健康数据。MFP Premium每月收费19.99美元,虽然减少了数据收集,但并未消除。Nutrola在免费试用后每月收费€2.50,根本不收集用于广告的数据。
任何广告支持应用的“免费”版实际上从来都不是免费的。您用数据在付费。当这些数据描述您的健康、饮食习惯、身体成分和健康目标时,代价比大多数人意识到的要高。
常见问题解答
我的数据在MyFitnessPal泄露中是否肯定被泄露?
如果您在2018年2月之前拥有MyFitnessPal账户,您的账户数据很可能是泄露的一部分。此次泄露影响了大约1.5亿个账户,几乎是当时的全部用户基础。请使用您的电子邮件地址访问haveibeenpwned.com以确认。
我可以永久删除我的MyFitnessPal账户和数据吗?
可以。MFP允许通过应用设置或联系支持来删除账户。根据GDPR和类似的隐私法律,他们有义务在请求时删除您的数据。请注意,这是一项永久性操作,您的历史数据无法恢复。
自2018年以来MyFitnessPal是否再次遭到泄露?
自2018年事件以来,没有公开披露MyFitnessPal的泄露事件。然而,安全环境不断变化,过去的泄露历史根据网络安全研究是未来事件的统计风险因素。
MyFitnessPal是否出售我的数据?
MFP的隐私政策描述了与“合作伙伴”共享数据以用于广告和分析目的。是否构成“出售”取决于各个司法管辖区的法律定义。根据加利福尼亚消费者隐私法案(CCPA),为定向广告共享数据可以被视为“出售”个人信息。
MyFitnessPal符合HIPAA吗?
不符合。MyFitnessPal不是HIPAA覆盖实体,因为它是一个消费者健康应用,而不是医疗提供者或健康计划。HIPAA不适用于大多数消费者健康和健身应用,这意味着您的MFP数据不受HIPAA保护,无论其敏感性如何。
如果我在2018年使用过MyFitnessPal,是否应该更改我的密码?
如果您自2018年3月之前没有更改过MFP密码,请立即更改。更重要的是,如果您在任何其他服务上使用过相同的密码,也请更改这些密码。泄露的数据已经被广泛传播,而密码重用是泄露凭证导致额外损害的主要方式。
MyFitnessPal安全性的底线
MyFitnessPal在技术上比2018年更安全。安全基础设施已更新,提供了双因素认证,所有权也发生了变化。但“比2018年更安全”是一个低标准,而根本的隐私问题——一个通过广告盈利的商业模式,变现您的健康数据——并没有改变。
您的营养数据就是健康数据。它揭示了您生活、身体和健康状况的亲密细节。问题不仅在于MFP是否能防止再次泄露(在这方面有所改善),而在于您是否对数据的收集、使用和共享方式感到满意。
如果答案是否定的,还有一些替代方案在设计上尊重您的隐私。开始Nutrola的免费试用,体验无广告的营养追踪,意味着零广告驱动的数据收集——只需准确的追踪、经过验证的数据库、AI记录和每月€2.50的100多种营养素。
