Популярное фитнес-приложение Fitify, установленное более чем на 25 миллионах устройств, допустило серьёзную утечку данных. Исследователи обнаружили, что облачное хранилище Google, связанное с приложением, было открыто для всех.
В публичном доступе оказалось 373 тыс. файлов, включая 138 тысяч «фото прогресса», которые пользователи загружали, чтобы отслеживать изменения своего тела. Многие из этих снимков были сделаны в минимальной одежде — чтобы лучше зафиксировать потерю веса или рост мышц.
Fitify обещало пользователям защиту и шифрование данных, но на деле хранилище не требовало ни пароля, ни ключа. Кроме того, в коде приложения исследователи нашли ключи и токены, которые могли позволить злоумышленникам получить доступ к ещё большему объёму данных — от телесканов до профилей в соцсетях. После обращения журналистов облачное хранилище было закрыто, но компания пока не прокомментировала произошедшее официально.
Особую тревогу вызывает то, что утёкшие фотографии — это не селфи в спортзале, а изображения, сделанные для отслеживания прогресса. Многие из них пользователи явно не хотели бы видеть в публичном доступе. Эксперты напоминают: любые медиафайлы, загружаемые в облачные сервисы, даже якобы «приватные», могут оказаться под угрозой, если платформа не заботится о базовой безопасности.
Утечка поставила под сомнение не только безопасность самих фото, но и общую инфраструктуру приложения. Специалисты предупреждают: наличие «жёстко закодированных секретов» может означать, что злоумышленники могли подделать работу приложения, внедрить вредоносный код или получить доступ к аккаунтам пользователей. И это касается не только фото, но и всей системы в целом.