В Fitmetrix обнаружена уязвимость, приведшая к утечке информации из базы данных

Компания Fitmetrix, которая производит программное обеспечение для отслеживания различных параметров клиентов фитнес-клубов, использовала полностью открытые облачные серверы, что привело к утечке данных клиентов в открытый доступ.

Команда безопасности Hacken наткнулась на открытую базу данных Fitmetrix, просматривая поисковую систему Shodan Internet of Things (IoT).

По словам Боба Дьяченко, директора по исследованиям кибер-рисков в Hacken, база данных содержит 119 ГБ данных с двумя разными индексами: общее количество записей в «platformaudit» составило 122 869 970; и общее количество записей в «fitmetrixaudit» составило 113 521 722. Когда Дьяченко нашел базу данных 5 октября 2018 г., для просмотра данных не требовалось ни пароля, ни логина. В базе содержались данные: имя, пол, адрес электронной почты, дата рождения, размер обуви, рост и вес, идентификатор Facebook, мобильный телефон, домашний телефон и уровень активности клиентов фитнес-клубов.

Джейсон Лумис (Jason Loomis), CISO в материнском подразделении FitMetrix Mindbody, сделал заявление для TechCrunch: «Недавно мы узнали, что некоторые данные, связанные с технологией FitMetrix, хранящейся в Интернете, могут быть публично опубликованы. Мы предприняли немедленные шаги, чтобы закрыть эту уязвимость. Информация на сегодняшний день свидетельствут о том, что эти данные включали подмножество потребителей, но не содержали никаких учетных данных, паролей, информации о кредитной карте или личной медицинской информации пользователей».

Утечка информации из открытых хранилищ данных, чаще всего Amazon Web Services S3, является распространенной проблемой, достаточно часто возникающей в последнее время. Например, недавно поставщик домена GoDaddy попал в заголовки новостей, когда неправильная конфигурация облачного хранилища выявила сведения о конфигурации высокого уровня для десятков тысяч систем в рамках инфраструктуры размещения.

Джордж Аветисов, генеральный директор HYPR, прокомментировал событие следующим образом: «Не у всех компаний, работающих с облачными технологиями, есть необходимые компетенции. Произошедшее является ярким примером того, как централизация данных в незащищенной базе данных неизбежно приводит к несанкционированному доступу и случайным утечкам в общий доступ конфиденциальной личной информации о клиентах».

Использование облачных технологий получает все более широкое распространение. Производители систем видеонаблюдения и владельцы облачных хранилищ также уделяют большое внимание безопасности и постоянно работают над обеспечением надежного хранения данных.

По материалам threatpost.com