В марте Under Armour объявила о взломе аккаунтов более 150 миллионов пользователей MyFitnessPal. Что это означает для остальной части индустрии приложений для тренировок?
Согласно ежегодному отчету Verizon о расследовании утечек данных, опубликованному 10 апреля, утечки данных стали в буквальном смысле более чем повседневным явлением: только за последний год произошло 216 случаев утечки данных.
На долю организаций здравоохранения приходится четверть этих инцидентов. Три недели назад эта группа объявила о появлении вызывающего беспокойство нового участника: MyFitnessPal от Under Armour, объявившего об утечке данных, раскрыла информацию (имена пользователей, адреса электронной почты и пароли) до 150 миллионов пользователей.
Это первая известная утечка данных в крупном фитнес-приложении для потребителей. (В 2016 году Fitbit подвергся небольшому взлому, но проблема касалась всего нескольких десятков учетных записей, в которых хакеры самостоятельно крали пароли пользователей и использовали учетные записи для получения мошеннических возмещений.) Но это, вероятно, не будет последним. И на карту поставлены данные гораздо более сокровенные, чем пароли и имена пользователей. Фитнес-трекеры знают нашу частоту пульса и количество шагов. Они знают, что мы плохо спали прошлой ночью, возможно, потому, что они также знают, что мы ели барбекю и выпили пару бутылок пива. И они отслеживают подробные шаблоны того, когда и где нам нравится заниматься, с кем и где мы живем.
Прежде всего важно понять, какие данные собирают мобильные фитнес-приложения и веб-сайты. Ответ: много.
Эти данные, попавшие в руки злоумышленников, могут иметь разрушительные последствия для безопасности и конфиденциальности пользователей. Четыре года назад после того, как некоторые спортсмены Strava оставили свои аккаунты общедоступными, произошла волна краж велосипедов. Воры имели доступ к GPS-трекам, начинающимся и заканчивающимся в домах пользователей, и даже имели информацию о том, какие велосипеды у них были. В 2016 году российские хакеры украли и опубликовали смущающие медицинские данные об элитных британских спортсменах, включая записи о так называемых исключениях для терапевтического использования запрещенных веществ. Как отмечается в отчете Verizon, сейчас атаки программ-вымогателей составляют 39% от всех атак вредоносного ПО, что значительно больше, чем всего три года назад.
Возникает вопрос: подвержены ли ваши личные данные о здоровье риску попадания в руки хакеров? Что делают компании для защиты от этого? А что, если что, можно сделать самому?
Чтобы ответить на этот вопрос, важно сначала понять, какие данные собирают мобильные фитнес-приложения и веб-сайты. Ответ: много. Outside связался с пятью крупными компаниями в области приложений для здоровья и фитнеса - Apple, Fitbit, Under Armour, Garmin и Strava - чтобы прокомментировать, какую информацию они собирают и как ее защищают. Из них только Fitbit предоставил доступ для комментариев своему представителю. Компания Garmin ответила на несколько письменных вопросов, а Apple и Strava указали на свои юридические правила и политику конфиденциальности. Under Armour отказалась от комментариев, заявив, что она была сосредоточена на своих пользователях после взлома.
К счастью, эти политики конфиденциальности часто написаны на простом английском языке. Но они также часто бывают широкими, без конкретных подробностей о том, какая информация собирается. «Это заявления высокого уровня о том, что и как делается», - говорит Крис Пирсон, эксперт по кибербезопасности и основатель консалтинговой фирмы Binary Sun. Они действительно дают общее представление о том, чем вы делитесь с компаниями, когда используете приложение или сервис.
Как правило, большинство приложений собирают:
- Любые данные, необходимые для создания учетной записи (имя пользователя, пароль, пол, рост, вес и т. Д.). Некоторые собирают платежные данные, а другие используют сторонних поставщиков.
- Любые данные об активности, собранные в рамках предоставления услуги (например, частота пульса и GPS-трек сегодняшней утренней пробежки).
- Информация о личном устройстве, такая как уникальный идентификатор устройства и MAC-адрес (своего рода физический сетевой адрес для каждого из ваших электронных устройств).
- Если вы разрешите это, получите доступ к другим приложениям, например к списку контактов. Это может быть явное согласие или, в некоторых случаях, вы даете разрешение, когда нажимаете «согласен» с политикой конфиденциальности и условиями обслуживания (это давно никто не читает).
Большая часть этой информации хранится двумя способами: в формате, позволяющем установить личность, который необходим для обслуживания вашей учетной записи при синхронизации или загрузке, и в агрегированной анонимной форме, где она используется для аналитики, рекламы или других целей получения дохода.
Хакеры, как правило, выбирают первое, но главное - это то, что они ищут: информацию, которую можно использовать для заработка. И в этом - спасительная благодать для спортсменов. «Хакеры нацелены на масштабируемые объекты, - говорит Пирсон. «Его можно масштабировать до кражи 100 000 номеров кредитных карт или имен пользователей и паролей». Поскольку ваши личные данные о здоровье являются личными и личными, их намного сложнее масштабировать; это партия из одного экземпляра, и, по крайней мере, пока неясно, как хакер может использовать его в финансовых целях. «У преступного бизнеса должна быть цель, и мы еще не видели, чтобы она была в центре внимания», - говорит Пирсон.
Это не означает, что ваши приложения для тренировок не передают конфиденциальные данные. Проблемы возникают, когда производитель приложения передает вашу информацию третьим лицам (см. Фиаско Cambridge Analytica и Facebook). В последнем есть две широкие категории: сторонние поставщики и сторонние интеграции приложений, например, когда вы связываете свои учетные записи Garmin Connect и Strava или входите в Fitbit со своим логином Facebook. Интеграция сторонних приложений выбирается вами, пользователем. Это по-прежнему вызывает проблемы, потому что не всегда ясно, чем вы делитесь, когда нажимаете «согласен».
Если вы связали аккаунты, вы можете обмениваться данными по многим категориям, о которых вы, возможно, не подозреваете или не собираетесь, например, список контактов вашего телефона, или ваше местоположение, или доступ к вашему фотоальбому. Когда эти данные попадают в руки третьей стороны, то, что с ними происходит, в значительной степени регулируется политикой конфиденциальности этой компании.
У вас еще меньше контроля над поставщиками. Компании делятся с ними большим количеством данных, а иногда и не должны. Grindr недавно попал в новости, когда было обнаружено, что он сообщает о ВИЧ-статусе пользователей сторонним поставщикам.
Даже если компания использует лучшее в своем классе шифрование и другие инструменты безопасности, это может не иметь большого значения.
Большинство компаний не обсуждают, как они защищают эти данные, кроме как ссылаются на свою политику конфиденциальности и правовую политику. «Как правило, большинство компаний не разглашают методы обеспечения безопасности, если только их не заставляют раскрывать информацию», - говорит Пирсон. «Он передается поставщикам, но не публике, потому что совместное использование протоколов безопасности может поставить компанию в невыгодное положение».
Компаниям важно использовать современные протоколы безопасности. Точный метод взлома MyFitnessPal хакерами не является публично известным, но мы знаем, что Under Armour использовала устаревший процесс шифрования или хеширования для некоторых данных своих паролей. Но правда в том, что даже если компания использует лучшее в своем классе шифрование и другие инструменты безопасности, это может не иметь большого значения. Это потому, что большинство нарушений обходят эту защиту.
По оценкам отчета Verizon, 70% утечек данных начинаются с фишинга, когда сотрудник компании, чье приложение вы используете, или один из ее поставщиков, невольно щелкает ссылку в мошенническом письме, которое активирует вредоносное ПО, позволяющее хакеру проникнуть в компьютер. украсть учетные данные и ключи шифрования. Фишинг - это то, как российские хакеры проникли в серверную сеть Национального комитета Демократической партии. (Согласно отчету Verizon, удивительно большая доля остального приходится на внутренних участников.) «Как только кто-то взламывает это облачное хранилище, независимо от шифрования, он получает доступ», - говорит Марк Баун, директор по безопасности Fitbit. Они могут либо получить доступ к ключам, которые использует приложение, и применить их к необработанным (зашифрованным) данным на диске, либо просто попросить приложение получить доступ к данным от их имени.
Что касается корпоративной стороны, Пирсон указывает на несколько практик, которые он хотел бы увидеть, которые в основном начинаются с наличия правильной команды и культуры безопасности для защиты от ленивых действий. Хорошая культура может включать участие в программе «bug bounty», чтобы платить людям за обнаружение уязвимостей, как это делает Fitbit.
Большинство политик конфиденциальности, которые мы рассмотрели, написаны простым языком, но они также длинные, и их сложно прокручивать и читать на мобильном телефоне. Пирсон хотел бы видеть более четкую и лаконичную формулировку, чтобы пользователи не нажимали «принять», не прочитав. А поскольку безопасность данных определяется только самым слабым звеном в системе, он хотел бы, чтобы больше компаний начали проводить аудит своих сторонних подрядчиков и требовать от них тех же методов обеспечения безопасности. (Некоторые, как Fitbit, уже делают.)
Одно надвигающееся изменение - нормативное. Новый закон Европейского Союза, называемый Общим регламентом защиты данных (GDPR), требует, чтобы поставщики услуг придерживались более строгого набора правил обеспечения конфиденциальности и безопасности данных. Закон применяется только к данным о пользователях в Европейском Союзе, но принцип работы облачного хранилища наиболее практичен для всех пользователей. В своем ответе Outside компания Garmin заявила, что внедрит стандарты GDPR по всему миру с 25 мая, когда они вступят в силу. (Новые операционные системы Apple iOS 11.3 и MacOS 10.13.4 также будут соответствовать стандартам GDPR, сначала в ЕС, а затем и во всем мире.)
Так что ты можешь сделать? Не много, кроме информированного потребителя. Но это очень важно. Спустя более четырех лет после того, как обнаружилась уязвимость Strava, связанная с кражей велосипедов (и спустя много времени после того, как Strava добавила функцию «зон конфиденциальности» для GPS-треков тренировок, которые даже в общедоступных профилях начинают и заканчивают отслеживание вне пузыря вокруг дома пользователя), В марте английское агентство Sky News сообщило, что, да, еще один пользователь не смог контролировать свои настройки конфиденциальности, и его велосипед был украден.
В остальном здравый смысл. Не используйте одинаковые или даже похожие пароли на разных сайтах. (В результате взлома MyFitnessPal были обнаружены пароли, которые хакеры, вероятно, попытаются использовать против других учетных записей пользователей в надежде получить данные, такие как номера кредитных карт.) Не входите в свою учетную запись через общедоступный Wi-Fi, по крайней мере, без использования надежной VPN. -общедоступные сети позволяют любому просматривать незашифрованный трафик. Прочтите эти политики конфиденциальности; не просто бегите по экрану и нажимайте «согласен». Периодически проверяйте настройки конфиденциальности своего телефона, чтобы убедиться, что вы случайно не предоставили произвольный доступ приложениям, например, к микрофону. Престижность Apple за то, что она начала делать эти разрешения и подсказки более понятными. И прекратите входить в Strava из своей учетной записи Facebook.