Une base de données non sécurisée contenant plus de 61 millions d’enregistrements relatifs à des technologies portables et aux services de remise en forme a été mise en ligne. La menace des ransomwares ne cesse de croître : lundi, WebsitePlanet, en collaboration avec Jeremiah Fowler, chercheur en cybersécurité, a déclaré que la base de données non sécurisée appartenait à GetHealth.
Basé à New York, GetHealth se décrit comme une « solution unifiée pour accéder aux données de santé et de bien-être provenant de centaines de smartphones, d’appareils médicaux et d’applications ». La plateforme de l’entreprise est capable d’extraire des données relatives à la santé de sources telles que Fitbit, Misfit Wearables, Microsoft Band, Strava et Google Fit.
Les chercheurs affirment que plus de 61 millions d’enregistrements étaient contenus dans le référentiel de données, et notamment de vastes pans d’informations sur les utilisateurs – dont certaines pourraient être considérées comme sensibles – telles que leurs noms, dates de naissance, poids, taille, sexe et journaux GPS.
La majorité des données proviennent de HealthKit et Fitbit
En échantillonnant un ensemble d’environ 20 000 enregistrements pour vérifier les données, l’équipe a constaté que la majorité des sources de données provenaient des applications Fitbit et HealthKit d’Apple.
Image : webPlanet.
« Ces informations étaient en texte clair alors qu’il y avait un identifiant qui semblait être chiffré », indiquent les chercheurs. « La géolocalisation était structurée comme dans « America/New_York », « Europe/Dublin » et révélait que les utilisateurs étaient situés dans le monde entier. »
Image : WebPlanet.
« Les fichiers montrent également où les données sont stockées et un plan de la façon dont le réseau fonctionne depuis l’arrière et a été configuré », ajoute l’équipe.
GetHealth dans le viseur
Les références à GetHealth dans la base de données de 16,71 Go indiquent que l’entreprise est le propriétaire potentiel. Une fois les données validées le jour de la découverte, Jeremiah Fowler a informé l’entreprise en privé de ses conclusions. GetHealth a réagi rapidement et le système a été sécurisé en quelques heures. Le même jour, le directeur technique de l’entreprise l’a contacté, l’a informé que le problème de sécurité était désormais résolu et a remercié le chercheur.
« On ne sait pas combien de temps ces enregistrements ont été exposés ni qui d’autre a pu avoir accès à l’ensemble des données », s’interroge WebsitePlanet.
« Nous n’impliquons aucun acte répréhensible de la part de GetHealth, de ses clients ou de ses partenaires. Nous ne sous-entendons pas non plus que les données des clients ou des utilisateurs étaient en danger. Nous n’avons pas été en mesure de déterminer le nombre exact de personnes concernées avant que l’accès à la base de données ne soit restreint au public. »
Source : ZDNet.com
