Egészségügyi információkat, privát üzeneteket, sőt még bankkártyaadatokat is meg lehetett szerezni a PumpUp nevű fitnesz app „jóvoltából” – tájékoztatta Oliver Hough biztonsági kutató a ZDNetet.

Az ontariói PumpUp cég igazi fitneszközösséget épített alkalmazása köré: előfizetőik rendszeresen új gyakorlatokat ismerhetnek meg, rögzíthetik az eredményeiket, tanácsokat kapnak fitneszedzőktől, illetve más felhasználóktól. Azonban a cég háttérszerverében, amelyet az Amazon felhőjében hostoltak, jelszó nélkül lehetett hozzáférni egy sor felhasználói adathoz, méghozzá valós időben.

PumpUp

A szervernél a kevéssé ismert MQTT-protokollt használták (ezt gyakran vetik be az internetre kötött eszközöknél), az alacsony sávszélességigénynek köszönhetően. Sajnos a biztonsággal itt komoly problémák vannak, így olyan adatok váltak egyszerűen elérhetővé, mint az e-mail-címek, a születési dátumok, tartózkodási helyek, időzónák, a felhasználók appal kapcsolatos aktivitásai, vagy például hogy miként értékelték az alkalmazást.

És ha ez még nem volna elég, a felhasználó által rögzített egészségügyi adatok (magasság, testsúly, alkoholfogyasztás, gyógyszerszedés, műtétek) is hozzáférhetővé váltak, akárcsak a felhasználók között váltott személyes üzenetek. De a legdurvább az, hogy még a megadott bankkártyaszámok is kompromittálódhattak.

Nem tudni, mióta állt fenn ez a sebezhetőség, mindenesetre az ügy kipattanása óta már biztonságossá tették a szervert. Ezzel együtt a cég vezetői még nem válaszoltak a ZDNet kérdéseire az esettel kapcsolatban.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.