2021-09-21 / CPO Magazine / Scott Ikeda
원문기사보기 :

Mass Leak of Fitness Tracking Data Hits Fitbit, Apple, Microsoft, Google; 60 Million Records Exposed by Improperly Configured Third-Party Database – CPO Magazine
A third-party platform that has the ability to pull fitness tracking data from nearly all of the major wearable device providers has been breached, leaving about 61 million records exposed.
부적절하게 구성된 타사 DB로 인해 Fitbit, Apple, Microsoft, Google 등의 피트니스 추적 데이터 레코드 6천만 건이 노출됨
- GetHealth라는 서드파티 플랫폼은 다양한 유형의 웨어러블 피트니스 데이터를 통합
- Apple, Fitbit, Microsoft Band, Google Fit, Strava 및 Misfit Wearables 등 거의 모든 주요 웨어러블 장치 제공업체로부터 GetHealth 가 수집한 피트니스 데이터에 침해 발생
- 피트니스 데이터 외, 생년월일, GPS로그, 이름 등 16.71GB의 데이터가 노출됨
- 잘못된 데이터베이스 구성으로 인해, 암호화, 접근제어 없이 온라인에서 접근 가능했음
- 6월 말 보안연구원에 의해 발견되었으며 즉시 조치됨
- 해당 웨어러블 장치의 직접적인 침해 없음
- 웨어러블에 의해 수집되는 데이터는 상대적으로 제한적으로, 의료기기 기록에 적용되는 HIPAA(Health Insurance Portability and Accountability Act)가 적용되지 않음
- 하지만 의료기록 및 건강정보는 신원 도용, 민감 정보에 대한 협박등 악용소지가 높음