WebsitePlanet研究团队与安全研究人员Jeremiah Fowler合作,发现了一个不受密码保护的数据库,其中包含超过6100万条属于世界各地用户的记录。大量暴露的记录与物联网健康和健身跟踪设备有关。经过进一步调查,有多处提到了“GetHealth”,这是一家总部位于纽约市的公司,提供了一个统一的解决方案,可以从数百台可穿戴设备、医疗设备和应用程序中访问健康和健康数据。我立即就我的发现发送了一份负责任的披露通知,并在第二天收到了一份回复,感谢我的通知,并确认披露的数据已得到保护。
发现中最令人不安的部分是,许多记录包含用户数据,包括名字和姓氏、显示姓名、出生日期、体重、身高、性别、地理位置等。这些信息是纯文本的,而其中有一个似乎被加密的ID。地理位置的结构与“美国/纽约”、“欧洲/都柏林”相同,用户分布在世界各地。
在20k+记录的有限抽样中,一些顶级可穿戴健康和健身追踪者似乎是一个“来源”。Fitbit(2021年被谷歌以21亿美元收购)出现2766次,这似乎是苹果的Healthkit 17764。其他应用或设备也可能受到影响。根据GetHealth的网站,他们可以同步以下数据:23andMe、Daily Mile、FatSecret、Fitbit、Google Fit、Jawbone UP、Life Fitness、MapMyFitness、MapMyWalk、Microsoft、Misfit、Moves App、PredictBGL、Runkeeper、Sony Lifelog、Strava、VitaDock、Withings、Apple HealthKit、Android Sensor、s Health。
Apple Healthkit可以收集更复杂的指标,包括血压、体重、睡眠水平、血糖等。一旦iPhone用户允许使用苹果的健康和健身应用程序,它就会使用手机中的传感器、连接的可穿戴设备和智能设备来收集比许多其他设备或应用程序更多的健康数据。此操作可以在后台和用户授予权限的任何iPhone上静默运行。
以下是调查结果的详细信息:
总大小:16.71 GB/总记录:61053956
暴露指数:deviceapi_Fitness
DeviceAPI_heartrate
deviceapi_profile
deviceapi_PulseOx
deviceapi_sleep
deviceapi_tracker
deviceapi_Weight
暴露以下内容的内部记录:deviceapi_配置文件、类型、id、分数、来源、来源、id、体重、e_id、获取的时间、身高、,生日、gethealthID、名、姓、显示名、url、性别、组织id、时区。
此信息可用于有针对性的网络钓鱼攻击,或获取有关用户的其他健康信息。
文件还显示了数据存储的位置,以及网络如何从后端运行和配置的蓝图。
用户数据如何出现在数据库中的示例:
个人资料账户示例:
健身跟踪器带来隐私风险
健身跟踪器的设计旨在通过提供可能表明健康风险的关键信息来了解和改善我们的健康。在收集用户信息的过程中,设备必须能够访问关于我们的生活、健康等非常隐私的信息。
根据皮尤研究中心的一份报告,估计美国20%的成年人拥有某种类型的可穿戴设备或健身跟踪器。这些设备多年来将产生大量与健康相关的数据点,并产生长期隐私风险。
这些设备中的许多都不是匿名的,并且与用户帐户绑定,鼓励他们在个人资料中输入个人身份信息。这使得在数据泄露的情况下识别数据属于谁变得极其容易。另一个问题是,可穿戴设备没有统一的隐私标准,公司有可能将这些数据用于广告、营销或与第三方共享。另一个需要考虑的问题是,公司将如何向用户提供“使用终止政策”,以及这些数据将存储多长时间?什么是医疗器械
可穿戴设备带来了复杂的问题
关于如何将可穿戴和健身跟踪器或物联网可穿戴设备视为医疗设备,存在一些争论。具有医疗用途的应用程序之间的界限越来越模糊。近年来,英国、美国和欧盟的监管机构试图定义什么是医疗器械以及应该如何对其进行监管。这些信息对医学研究和健康与保健行业非常有价值。
美国食品和药物管理局将FitBit指定为非处方使用软件和II类医疗设备。2020年9月14日,Fitbit因其追踪心律失常的心电图功能获得FDA许可和CE标志批准。Fitbit的设备目前在全球收集约2900万用户的数据,谷歌声称Fitbit用户的健康数据不会用于谷歌广告。在许多其他领域,这项技术以牺牲用户隐私为代价超过了法律法规。
根据Gethealth。io的网站和常见问题解答该流程符合HIPAA标准,并声明“用户的数据通过SSL传输、AES256加密、日志记录和监控是安全的,所有数据都以符合HIPAA标准的方式存储和管理”
1996年《健康保险可携带性和责任法案》(HIPAA)是一部美国联邦法律,旨在保护敏感的患者健康信息不在患者同意或不知情的情况下被披露。目前没有明确的HIPAA法规适用于可穿戴技术,只要数据用于个人用途。然而,一旦可穿戴技术的数据被传递给医疗保健提供商或其他机构,它可能会受到HIPAA法规和HIPAA合规标准的约束。可穿戴设备和智能手机拥有收集患者生成的健康数据(PGHD)的技术,这些数据可能会暴露敏感的健康数据,但监管似乎远远落后。
大多数可穿戴式用户认为,没有网络罪犯对他们采取了多少步骤或睡眠时间感兴趣,但忽视数据的使用或共享方式是错误的。所有数据都是有价值的,随着可穿戴设备技术的发展,在用户身上收集的数据的类型和准确性也随之提高。简单的步进计数器或计步器相对无害,而一些可穿戴设备可以识别更详细的信息,如心率或体重指数等。理论上,健身追踪者在数百万用户身上收集的详细信息可以提供这些人及其总体健康状况的总体描述。然后,这些数据可以用于实施其他攻击、欺诈、勒索,或获取更有针对性的健康信息。
收集和存储健康数据有风险
收集的所有信息必须存储在某个地方,这会造成漏洞和潜在的数据暴露点。医疗行业需要数据管理平台来收集和过滤他们收集的大量数据。到2026年,全球卫生管理市场预计将增长至467亿美元。随着医疗技术行业的发展,收集和存储的数据量也在增长。
可穿戴设备的健康数据是信息宝库,毫无疑问将成为网络犯罪的目标。众所周知,卫生行业遭遇的数据泄露比任何其他行业都多。根据Trustwave的一份报告,医疗保健数据在黑市或黑暗网络上的售价最高可达每张记录250美元。与信用卡记录的估值约为5.40美元相比,这是一笔可观的金额。
目前尚不清楚这些记录被暴露了多长时间,也不清楚还有谁可以访问数据集。作为安全研究人员,我们从不提取或下载我们找到的数据,只拍摄有限数量的屏幕截图进行验证。我们没有暗示Gethealth、其客户或合作伙伴有任何不当行为。我们也不是在暗示任何客户或用户数据都存在风险。在数据库被禁止公众访问之前,我们无法确定受影响个人的确切数量。我们只是强调我们的发现,以提高人们对物联网、可穿戴设备、健身和健康跟踪器带来的危险和网络安全漏洞的认识,以及这些数据的存储方式。我们建议任何公司或组织加密敏感数据,制定网络卫生措施,并经常进行渗透测试。