Приложение для тренировок Fitify, которым пользуются более 25 миллионов человек по всему миру, стало источником масштабной утечки данных. Исследователи обнаружили, что его облачное хранилище, организованное в Google Cloud, было открыто для общего доступа без пароля или шифрования. В результате в сеть попали 373 тысячи файлов, включая 138 тысяч интимных фото пользователей — снимков «прогресса», которые люди делали в нижнем белье или купальниках, чтобы отслеживать изменения фигуры.
Разработчики Fitify заявляли о защите данных и шифровании, однако на практике любой мог получить доступ к личным медиафайлам пользователей. Более того, в коде приложения нашли токены и ключи, которые потенциально позволяли злоумышленникам проникать глубже — получать доступ к профилям в соцсетях, медицинским данным и другим конфиденциальным сведениям. После обращения журналистов доступ к хранилищу закрыли, но официальных комментариев от компании до сих пор нет.
Эксперты предупреждают: уязвимости в коде Fitify могли позволить хакерам внедрять вредоносные программы, подделывать работу приложения или даже красть аккаунты целиком. Многие пользователи загружали в приложение не просто селфи из спортзала, а откровенные снимки, которые явно не предназначались для публичного просмотра. Этот инцидент в очередной раз доказывает: даже сервисы с миллионами пользователей могут пренебрегать базовыми нормами безопасности.