[침해사례] Mass Leak of Fitness Tracking Data Hits Fitbit, Apple, Microsoft, Google; 60 Million Records Exposed by Improperly Configured Third-Party Database

Posted by

2021-09-21 / CPO Magazine / Scott Ikeda

원문기사보기 :

부적절하게 구성된 타사 DB로 인해 Fitbit, Apple, Microsoft, Google 등의 피트니스 추적 데이터 레코드 6천만 건이 노출됨

  • GetHealth라는 서드파티 플랫폼은 다양한 유형의 웨어러블 피트니스 데이터를 통합
  • Apple, Fitbit, Microsoft Band, Google Fit, Strava 및 Misfit Wearables 등 거의 모든 주요 웨어러블 장치 제공업체로부터 GetHealth 가 수집한 피트니스 데이터에 침해 발생
  • 피트니스 데이터 외, 생년월일, GPS로그, 이름 등 16.71GB의 데이터가 노출됨
  • 잘못된 데이터베이스 구성으로 인해, 암호화, 접근제어 없이 온라인에서 접근 가능했음
  • 6월 말 보안연구원에 의해 발견되었으며 즉시 조치됨
  • 해당 웨어러블 장치의 직접적인 침해 없음
  • 웨어러블에 의해 수집되는 데이터는 상대적으로 제한적으로, 의료기기 기록에 적용되는 HIPAA(Health Insurance Portability and Accountability Act)가 적용되지 않음
  • 하지만 의료기록 및 건강정보는 신원 도용, 민감 정보에 대한 협박등 악용소지가 높음

댓글 남기기