一个包含超过 6100 万条与可穿戴技术和健身服务相关的记录的不安全数据库被暴露在网上。
周一,WebsitePlanet 与网络安全研究员 Jeremiah Fowler表示,该数据库属于 GetHealth。
总部位于纽约的 GetHealth 将自己描述为“从数百个可穿戴设备、医疗设备和应用程序访问健康和保健数据的统一解决方案”。该公司的平台能够从 Fitbit、Misfit Wearables、Microsoft Band、Strava 和 Google Fit 等来源提取与健康相关的数据。
2021 年 6 月 30 日,该团队在网上发现了一个没有密码保护的数据库。
研究人员表示,数据存储库中包含超过 6100 万条记录,包括大量用户信息——其中一些可能被认为是敏感信息——例如他们的姓名、出生日期、体重、身高、性别和 GPS 日志,以及其他数据集。
在对一组大约 20,000 条记录进行抽样以验证数据时,该团队发现大部分数据源来自 Fitbit 和 Apple 的 HealthKit。
研究人员说:“这些信息是纯文本的,而有一个似乎是加密的 ID。” “地理位置的结构类似于“美国/纽约”、“欧洲/都柏林”,并显示用户位于世界各地。”
“这些文件还显示了数据的存储位置以及网络如何从后端运行和配置的蓝图,”该团队补充道。
16.71 GB 数据库中对 GetHealth 的引用表明该公司是潜在所有者,一旦数据在发现当天得到验证,Fowler 就私下通知了该公司他的发现。GetHealth 响应迅速,系统在数小时内得到保护。同一天,该公司的 CTO 联系了他,通知他安全问题现已解决,并感谢研究人员。
“目前还不清楚这些记录暴露了多长时间,或者还有谁可以访问数据集,”WebsitePlanet 说。“[...] 我们并不暗示 GetHealth、他们的客户或合作伙伴有任何不当行为。我们也不暗示任何客户或用户数据存在风险。我们无法在数据库之前确定受影响个人的确切人数被禁止公开访问。”
大多数可穿戴用户认为网络犯罪分子不会对他们走了多少步或睡了多长时间感兴趣。Fowler 指出,所有数据都是有价值的,而且随着可穿戴设备技术的发展,收集到的用户数据的类型和准确性也在增加。研究人员在报告中写道,这些数据可用于进行其他攻击、欺诈或勒索,或者获取更有针对性的健康信息。
提供商 KnowBe4 的安全意识倡导者 Erich Kron 表示,由于缺乏社会安全号码或信用卡信息,数据泄露虽然看起来有些温和,但实际上包含大量可能对犯罪分子有用的信息的安全意识培训。
“事实上,这些信息,包括个人的 GPS 日志,是一种会引起执行保护团队和物理安全从业人员等集体痛苦呻吟的信息。这些信息使不良行为者更容易找到人们的位置是生活还是停留,并且可以暴露旅行模式,”克朗通过电子邮件告诉 Fierce Healthcare。
研究人员建议公司和组织对敏感数据进行加密,制定网络卫生措施并经常进行渗透测试。
“错误配置,例如没有密码的数据库,允许攻击者轻松访问您的系统或数据。这相当于让你的门没锁或窗户开着,”网络安全公司 Tripwire 战略副总裁 Tim Erlin 告诉 Fierce Healthcare。
“所有组织都应该定期审核他们的系统是否存在错误配置,尤其是那些可以通过 Internet 访问的系统。即使您已经部署了具有安全配置的系统来启动,一个简单的更改就可以让攻击者访问,”他说。
目前没有明确的 HIPAA(健康保险流通与责任法案)法规适用于可穿戴技术,只要数据用于个人用途。然而,一旦来自可穿戴设备或健身追踪器的数据传递给医疗保健提供者或其他机构,它们可能会受到 HIPAA 法规和 HIPAA 合规性标准的约束,福勒指出。
“可穿戴设备和智能手机拥有收集患者生成的健康数据 (PGHD) 的技术,这些数据可能会暴露敏感的健康数据,但监管似乎远远落后,”他写道。